Quali dati escono dall’UE ogni giorno (e perché finora non ci hai pensato)
Prima di mettere in discussione qualcosa, mettiamo le cose in chiaro: esportare è un mestiere vero, e gli strumenti che usi per farlo — il CRM in cloud, il gestionale, il servizio di email, l’assistenza che gira oltreoceano, lo scambio di file col distributore estero — fanno tutti un lavoro onesto. Senza, non venderesti oltre confine. Il punto non è quello. Il punto è cosa succede ai dati delle persone, sotto al cofano, ogni volta che lavori con l’estero.
Quando tratti con un cliente, un fornitore o un distributore fuori dall’Unione Europea, sposti un piccolo dossier di persone: nomi e cognomi dei referenti, email, numeri di telefono, contatti commerciali, a volte dati di pagamento o anagrafiche complete. È informazione che ti serve davvero per gestire la trattativa, evadere l’ordine, far girare la logistica. Fin qui è tutto sano: scambiare quei dati per lavorare con l’estero è normale, ed è anche giusto.
Questo è il punto da cui partiamo: far uscire dei dati personali dall’UE per lavorare è normale e necessario. Il punto non è se puoi farlo. Puoi, e devi. Il punto è un altro, ed è il motivo per cui sei finito su questa pagina: sai con quale garanzia quei dati escono, e sai davvero dove finiscono una volta passato il confine?
Trasferire dati all’estero non è come spostarli in Italia (e trattarli uguale ti espone)
Cominciamo dalla parte che ti tiene sveglio: la conformità. C’è una distinzione che cambia tutto, e quasi nessuna azienda che esporta la rispetta davvero. Una cosa è far girare un dato dentro l’Unione Europea: lì le regole sono comuni e il dato resta in un’area protetta allo stesso modo. Tutt’altra cosa è mandare quel dato fuori dall’UE — negli Stati Uniti, in Asia, ovunque — perché lì quelle regole non valgono in automatico. Per farlo serve una base, una garanzia che il dato sia protetto anche oltre confine. Le regole su come trattare i dati di chi è in Europa partono proprio da qui: capire cosa significa davvero il GDPR per chi lavora con l’estero vuol dire sapere quando un dato sta uscendo e con quale autorizzazione.
Non è teoria da convegno. In pratica le garanzie possibili sono poche e vanno conosciute. La prima è il criterio di adeguatezza: per alcuni Paesi fuori dall’UE esiste un riconoscimento formale che dice “lì i dati sono protetti come da noi”, e allora il trasferimento è più semplice. Per tutti gli altri serve uno strumento contrattuale: le clausole contrattuali standard, le SCC, cioè un contratto-tipo che lega chi manda e chi riceve a proteggere quei dati. Sono le clausole contrattuali tipo che l’avvocato firma col fornitore o col partner estero, ed è la parte giusta da fare.
Il problema pratico è che quasi nessuno sa quali flussi sta davvero esportando. Il CRM è in cloud da quando l’hai attivato, e i server stanno negli Stati Uniti — ma magari non te l’ha mai detto nessuno in chiaro. Il servizio di assistenza gira oltreoceano. Il distributore in Asia carica i tuoi contatti nel suo gestionale. E un trasferimento di cui non conosci nemmeno l’esistenza non lo puoi proteggere: il giorno in cui qualcuno controlla, o un fornitore chiede conto delle garanzie, ti trovi a dover spiegare un flusso che non avevi mai mappato.
Non hai un problema con i tuoi partner esteri. Hai un problema con decine di flussi che escono dall’UE ogni giorno, senza una mappa di chi li riceve e con quale garanzia.
E qui c’è una distinzione che ti salva metà delle preoccupazioni, se la conosci. Il documento che autorizza il trasferimento — le clausole contrattuali standard, oppure il fatto che il Paese di destinazione goda del criterio di adeguatezza — è l’acqua pulita: la parte che si può firmare e mettere a posto sulla carta. È necessaria, ed è il lavoro che fa bene chi cura la parte legale. Ma firmare le clausole non significa sapere quali dati partono davvero, verso chi e ogni quanto. Trattare le due cose come se fossero la stessa — “ho firmato le SCC, quindi sono a posto” — è dove quasi tutti sbagliano. La via onesta è una sola: il documento promette la protezione, ma ci vuole una mappa di chi accede e di dove finisce ogni dato perché quella promessa diventi vera.
Ma la firma delle clausole è solo metà della storia. Perché anche con le SCC in cassetta, quei dati continuano a uscire ogni giorno da decine di strumenti diversi — e nessuno tiene il conto. Di questo secondo problema nessuno ti parla.
Lo stesso contatto esce dall’Europa da dieci porte diverse, e nessuna è sotto controllo
Mettiamo che tu abbia fatto firmare le clausole giuste ai fornitori principali. Resta il fatto che i dati delle persone, dentro la tua azienda, non escono da una porta sola: partono da decine di strumenti diversi, ciascuno per conto suo. Ed è qui che nasce il guaio vero, quello operativo, di cui il GDPR è solo la spia.
Pensa a cosa succede dietro le quinte quando lavori con un cliente estero. Il suo referente entra nel CRM, che gira su server negli Stati Uniti. La sua email finisce nel servizio di posta, che ha datacenter fuori dall’UE. I documenti li scambi con un sistema di file sharing oltreoceano. Il distributore carica il contatto nel suo gestionale in Asia. L’assistenza tecnica che usi smista le richieste da un fuso lontano. Lo stesso contatto, dopo un singolo rapporto commerciale, esce dall’Europa attraverso cinque, dieci porte diverse — ed è la definizione di un Frankenstein internazionale: pezzi cuciti insieme, ciascuno che manda fuori dai confini la sua copia di un dato che nessuno coordina.
Il risultato lo conosci anche se non l’hai mai chiamato così. Ti chiedono di dimostrare quali dati escono dall’UE e con quale garanzia, e tu non sai nemmeno da quante porte partono. Hai firmato le SCC col fornitore del CRM, ma il servizio di email che usi da anni manda i dati fuori senza che tu ci abbia mai pensato. Per le tue decisioni — e per i tuoi obblighi — quei flussi sono ovunque e da nessuna parte: e governare il trasferimento di un dato quando esce da dieci strumenti diversi è una rincorsa che non finisce mai. Il primo passo per chiuderla è il registro dei trattamenti, che è la mappa di tutti i flussi anche extra-UE — l’elenco di quali dati tratti, dove vivono e verso chi escono.
E c’è il lato controllo, che è il più scomodo. Nessuna di quelle dieci porte è davvero sotto la tua mano. I dati delle persone con cui lavori — la cosa più delicata che la tua attività con l’estero produce — escono dall’UE su strumenti di altri, di cui non conosci i datacenter, le sotto-forniture, i flussi a valle. Il giorno che un partner ti chiede le garanzie, o che cambia la regola su un Paese, ti porti dietro la verifica a fatica, a pezzi, sperando di non aver dimenticato un flusso per strada.
Il modo più rapido per dirlo: un’azienda che esporta in regola non è quella che fa uscire meno dati, è quella che sa esattamente quali flussi escono dall’UE, verso chi e con quale garanzia, e li tiene mappati in un posto solo. Lo si ottiene facendo confluire la conoscenza di tutti i flussi in un registro unico — un database tuo, sotto il tuo controllo, dove ogni trasferimento extra-UE è tracciato invece di vivere sparso su dieci strumenti scollegati.
Cosa ti dà l’export “alla rinfusa”, e cosa gli manca
| Dati che escono dall’UE alla rinfusa | Registro dei trasferimenti unico e tuo | |
|---|---|---|
| Quali dati escono | Non lo sai con certezza, lo scopri quando serve | Mappati uno per uno, con destinazione |
| Verso quali Paesi | Sparsi tra USA, Asia e altro, mai tracciati | Elencati, con il criterio che li copre |
| Garanzia del trasferimento | SCC firmate solo coi fornitori più grossi | Adeguatezza o clausole standard per ogni flusso |
| Se un partner chiede conto | Caccia al flusso su ogni strumento | Una risposta sola, su un registro solo |
| Chi accede al dato fuori UE | Ignoto, deciso dai datacenter dei fornitori | Registrato: chi vede cosa e da dove |
| Se cambia la regola su un Paese | Lo scopri tardi, a danno fatto | Aggiorni un flusso, sai subito chi tocca |
| Cosa hai in mano | Clausole che descrivono un sistema non controllato | Una mappa vera dei tuoi trasferimenti extra-UE |
Letta così, sparisce la domanda sbagliata (“ho firmato le clausole sì o no?”) e resta quella giusta: i dati delle persone che escono dall’Europa li mando con una garanzia che so dimostrare e tengo mappati in un registro che è mio, o li ho lasciati uscire da dieci porte di altri sperando che vada bene?
Prima di firmare altre clausole o rincorrere i fornitori, scopri a che punto sei davvero: il voto GDPR della tua azienda in pochi minuti, gratis e senza carta di credito.
I flussi extra-UE non mappati ti costano due volte: in lavoro sprecato e in esposizione
Tenere i dati che escono dall’UE sparsi su dieci strumenti, così come sono, ti presenta il conto da due lati nello stesso momento.
Dal lato dei soldi: ogni volta che un partner estero, un fornitore o un cliente importante ti chiede di dimostrare come proteggi i dati che escono dall’Europa, devi ricostruire a mano flussi che vivono in posti diversi e nessuno aveva mai messo nero su bianco. Sprechi giorni a interrogare i fornitori, scaricare contratti, capire dove stanno i datacenter, e intanto la trattativa o la fornitura resta in sospeso. Un avvocato o un consulente bravo — che fa un mestiere vero e ti porta acqua pulita — lavora peggio se gli passi un quadro a pezzi: può firmare le clausole giuste, ma non può mappare al posto tuo flussi che nessuno ha mai elencato. Dimostrare le garanzie con misure e prove concrete parte sempre da una mappa, non da una pila di clausole.
Dal lato del rischio: hai i dati personali delle persone con cui lavori — referenti, contatti, anagrafiche, a volte pagamenti — che escono dall’UE da decine di porte, senza che tu sappia con certezza chi li riceve e con quale garanzia. Finché nessuno guarda, non succede niente. Ma il GDPR non è una cosa che “speri non capiti”: è un dovere che hai già adesso, ogni giorno che lavori con l’estero. E la stessa logica vale se un dato che esce dall’UE finisce dove non doveva: senza una mappa non sai nemmeno cosa è uscito né a chi dirlo.
Qui i flussi extra-UE smettono di essere un argomento da addetti ai lavori e diventano un pezzo del tuo backend operativo. Il principio è lo stesso che applico ovunque: il dato e il flusso vivono in un posto solo, tuo, mappato e governabile. Un’azienda che esporta è una PMI a tutti gli effetti, e si mette in ordine come ogni altra: si parte dal capire quali dati escono, verso chi e con quale garanzia. Non un’azienda più bella: un sistema dove il dato della persona non si perde — e non ti espone — tra un confine e l’altro.
La domanda non è “ho firmato le clausole sì o no”. È: oggi i dati che escono dall’Europa li controllo io, o li ho lasciati uscire da dieci porte di altri che non so nemmeno dove portano?
Cinque domande oneste sui dati che escono dalla tua azienda
Non serve una consulenza da migliaia di euro per capire se i trasferimenti extra-UE della tua azienda sono un problema. Bastano cinque domande.
- Sai dire, di getto, quali dati personali escono oggi dall’UE — o lo scopri solo quando un partner te lo chiede?
- Per ognuno di quei flussi, sai verso quale Paese va e con quale garanzia è coperto — il criterio di adeguatezza o le clausole contrattuali standard?
- Il CRM, il servizio di email, lo scambio file e l’assistenza che usi: sai dove stanno fisicamente i loro datacenter, o non l’hai mai verificato?
- Se domani un cliente o un’autorità ti chiede di dimostrare come proteggi i dati che escono dall’Europa, hai una mappa pronta o la dovresti ricostruire da zero?
- I tuoi trasferimenti extra-UE sono scritti in un registro tuo, che potresti mostrare domani, o vivono solo nella testa di chi gestisce ogni singolo strumento?
Se a queste domande hai risposto con un sospiro, non sei nei guai: sei nella situazione di quasi tutte le PMI italiane che lavorano con l’estero. La differenza la fa misurare con precisione dove sei, invece di tirare a indovinare. E questo lo puoi fare adesso, da solo, in pochi minuti.
GDPR Quick Audit · il voto di conformità del tuo sito
Rispondi a poche domande sulla tua azienda — quali dati escono dall’UE, dove tieni i dati, con quali fornitori esteri lavori, come gestisci le garanzie — e in pochi minuti hai un voto chiaro su quanto sei a norma e dove sei scoperto. Niente gergo da avvocato, solo dove intervenire per primo.
Inserisci i dati e parti. Senza carta di credito. Il risultato lo salvi nella tua Officina con la sola email, se vuoi tenertelo.
Il voto è il punto di partenza. Dice dove sei oggi; cosa farne, lo decidi tu.
Le domande che ti stai facendo adesso
Posso mandare dati personali fuori dall’Unione Europea?
Sì, ma non in automatico: serve una garanzia che quei dati siano protetti anche oltre confine. Per alcuni Paesi fuori dall’UE esiste un riconoscimento formale, il criterio di adeguatezza, che dice “lì la protezione è equivalente alla nostra”; in quel caso il trasferimento è più semplice. Per tutti gli altri serve uno strumento contrattuale, di norma le clausole contrattuali standard. Mandare i dati fuori senza nessuna di queste basi è il rischio più comune di chi lavora con l’estero.
Cosa sono le clausole contrattuali standard?
Sono un contratto-tipo che lega chi manda e chi riceve i dati a proteggerli secondo regole comuni. Quando trasferisci dati personali verso un Paese fuori dall’UE che non ha il riconoscimento di adeguatezza, queste clausole contrattuali tipo sono lo strumento con cui rendi legittimo il trasferimento. Le firma chi cura la parte legale insieme al fornitore o al partner estero. Sono necessarie, ma da sole non bastano: descrivono come dovrebbe essere protetto il flusso, non garantiscono che tu sappia quali flussi hai davvero.
Il Privacy Shield esiste ancora?
Il Privacy Shield è un riferimento storico: era un accordo che semplificava i trasferimenti di dati verso gli Stati Uniti. Nel tempo gli strumenti che regolano i trasferimenti UE-USA sono cambiati, quindi è prudente non dare per scontato che valga ancora oggi nella forma di un tempo. Il principio di fondo resta lo stesso: per mandare dati fuori dall’UE serve sempre una base giuridica valida e aggiornata, e su quale strumento usare conviene farsi dire l’ultima parola da chi cura la parte legale.
Devo sapere dove sono i server dei software che uso?
Sì, perché è lì che si decide se un dato esce o no dall’UE. Un CRM, un servizio di email o un sistema di file sharing con datacenter negli Stati Uniti o altrove sta facendo uscire i tuoi dati dall’Europa ogni volta che lo usi, anche se tu non te ne accorgi. Sapere dove vivono fisicamente i tuoi strumenti è il primo passo per capire quali trasferimenti extra-UE hai in corso e quali garanzie ti servono.
Quanto tempo ci vuole per mettere in regola i trasferimenti?
Nessuno serio te lo dice prima di aver guardato come lavori. Dipende da quanti strumenti usi, da quanti Paesi esteri tocchi, da quanto sono sparsi oggi i flussi e da quanto è disordinata la situazione di partenza. Chi ti spara una scadenza prima di guardare ti sta vendendo una promessa, non una stima. Il primo passo è sempre mappare lo stato attuale — quali dati escono, verso dove, con quale garanzia — non firmare una tempistica al buio.
Da dove inizio, senza impegno?
Dagli strumenti diagnostici gratuiti: misuri il voto GDPR della tua azienda — quali dati escono dall’UE, dove tieni i dati, come gestisci le garanzie — in pochi minuti, senza carta di credito e senza parlare con nessuno. Poi, se ha senso, ne parliamo.
Puoi continuare a esportare lasciando i dati delle persone uscire dall’Europa da dieci porte che non controlli. Oppure puoi sapere, con un numero, esattamente a che punto sei.
Smetti di far uscire i dati alla cieca. Misura quali flussi lasciano l’UE, verso chi, e con quale garanzia.
La maggior parte degli imprenditori che mi scrive non ha un problema con i suoi partner esteri. Ha un problema con decine di flussi che escono dall’UE ogni giorno, con clausole firmate solo coi fornitori più grossi, e con una mappa — la cosa che renderebbe vero ogni trasferimento — che semplicemente non esiste.
Cambiare il CRM o aggiungere clausole non lo risolve, perché il buco non è in un singolo software: è nel fatto che non sai quali dati escono, verso dove e con quale garanzia. Lo risolve mappare ogni flusso extra-UE, sapere dove stanno i datacenter degli strumenti che usi, abbinare a ogni trasferimento la sua base — il criterio di adeguatezza o le clausole contrattuali standard — e far confluire tutto in un registro che è tuo, governabile, dove ogni trasferimento è tracciato dall’inizio. Le clausole restano: ma smettono di descrivere un sistema che nessuno controlla, perché finalmente c’è la mappa che le rende vere.
Non ti chiedo di firmare niente e non ti chiedo di credermi. Non sono un avvocato e non ti vendo la conformità garantita: l’interpretazione legale e quale strumento usare per ogni Paese li cura chi di dovere. Io metto in ordine i dati e i flussi della tua azienda, così che il lavoro legale diventi semplice. Ti chiedo solo di guardare il voto GDPR della tua azienda, gratis, in pochi minuti. Se quello che vedi ti suona familiare, andiamo avanti. Se non fa per te, chiudiamo qui senza rancore.
Ogni giorno i dati delle persone escono dalla tua azienda e attraversano i confini. Adesso scopri da quante porte, verso dove, e quanto ti stanno esponendo!
Strumenti gratuiti. Senza carta di credito. Senza parlare con nessuno.
