Gli studi legali che archiviano atti, fascicoli o dati cliente su piattaforme cloud di fornitori statunitensi (AWS, Microsoft Azure, Google Cloud) sono esposti a rischi di non conformità GDPR tutt’ora sottovalutati, aggravati dall’assenza di clausole contrattuali adeguate sui trasferimenti extra-UE. Il Data Act (Reg. UE 2023/2854) e le norme sullo switching tra fornitori cloud impongono oggi una revisione concreta dei contratti di servizio in uso. Chi assiste enti pubblici o aziende regolamentate deve inoltre considerare i vincoli del Cloud per la PA italiana, che esclude categoricamente certi fornitori per dati sensibili.
Punti chiave
- Punto 1 — I contratti cloud con fornitori USA richiedono clausole SCC aggiornate post-Schrems II (Corte di Giustizia UE, C-311/18).
- Punto 2 — Il Data Act (Reg. UE 2023/2854) attribuisce agli utenti cloud diritti di portabilità e switching esercitabili dal settembre 2025.
- Punto 3 — La Strategia Cloud Italia dell’ACN classifica i dati PA in tre livelli: ordinari, critici e strategici, con fornitori ammessi differenziati.
Se il tuo studio usa un servizio cloud americano per conservare fascicoli, comunicazioni riservate o dati di clienti, hai almeno tre fronti aperti: conformità GDPR sul trasferimento dati extra-UE, clausole contrattuali di lock-in difficilmente negoziabili e, se assisti enti pubblici, l’impatto diretto della Strategia Cloud Italia dell’Agenzia per la Cybersicurezza Nazionale. Non è un tema da convegno: è roba che entra nei contratti che firmi o che aiuti a firmare.
Il dibattito sulla dipendenza tecnologica europea dai grandi fornitori cloud statunitensi — AWS, Microsoft Azure, Google Cloud — ha ripreso vigore istituzionale nelle ultime settimane, con proposte concrete a livello UE su portabilità dei dati e riduzione del lock-in. L’analisi completa è su Agenda Digitale.
Il contesto normativo
Il punto di partenza obbligato è la sentenza Schrems II (Corte di Giustizia UE, C-311/18, 16 luglio 2020), che ha invalidato il Privacy Shield e imposto la verifica caso per caso dell’adeguatezza delle garanzie nei trasferimenti verso gli USA. Il meccanismo sostitutivo — Data Privacy Framework, adottato dalla Commissione con decisione del 10 luglio 2023 — riduce il rischio ma non lo elimina: basta che il fornitore non sia certificato o che cambi l’orientamento politico americano per riaprire il problema.
Sul fronte contrattuale, il Regolamento UE 2023/2854 (Data Act), in vigore dal 12 settembre 2025, introduce all’art. 25 obblighi precisi per i fornitori cloud: garantire la portabilità dei dati, abbattere i costi di switching entro tre anni dall’entrata in applicazione e vietare le clausole che creano dipendenze artificiali. Per gli enti pubblici italiani, la Strategia Cloud Italia dell’ACN — attuata tramite circolari AgID — distingue dati ordinari, critici e strategici, ammettendo solo fornitori qualificati ACN per le ultime due categorie.
Cosa cambia per lo studio
- Revisione delle SCC nei contratti cloud attivi. Le Clausole Contrattuali Standard aggiornate dalla Commissione UE nel 2021 (Decisione 2021/914) devono essere incorporate nei DPA con i fornitori USA. Se il tuo studio ha firmato contratti prima del 2022 senza aggiornarli, è fuori conformità GDPR oggi.
- Verifica della certificazione ACN del fornitore cloud. Se assisti un’amministrazione pubblica o una società partecipata, il fornitore cloud deve risultare nell’elenco qualificato ACN. Usare un servizio non qualificato per dati critici o strategici espone il committente a responsabilità diretta.
- Mappatura dei diritti di portabilità esercitabili dal 2025. Il Data Act consente agli utenti cloud di migrare dati e applicazioni verso altri fornitori senza costi proibitivi. Inserisci già oggi nei contratti di fornitura ICT che redigi clausole di exit strategy e SLA di migrazione.
- Attenzione al CLOUD Act USA. Le autorità americane possono richiedere ai fornitori US l’accesso ai dati anche se fisicamente ospitati in Europa (CLOUD Act, 2018). Questo va segnalato esplicitamente nelle informative privacy e nei contratti con clienti che trattano dati sensibili o segreti industriali.
- Clausole di lock-in da negoziare o segnalare. I contratti enterprise di AWS, Azure e Google includono spesso penali di uscita o costi di egress che rendono lo switching economicamente insostenibile. Dal 2025 queste clausole potranno essere impugnate sulla base dell’art. 25 Data Act come contrarie al diritto di portabilità.
Attenzione a
Non confondere Data Privacy Framework con immunità totale. Molti studi stanno trattando la certificazione DPF del fornitore come una soluzione definitiva al problema Schrems II. Non lo è: il Garante europeo della protezione dei dati ha già espresso riserve, e il framework è potenzialmente vulnerabile a un nuovo ricorso davanti alla CGUE. Inserire questa riserva nei pareri che rilasci è una tutela professionale, non un eccesso di prudenza.
Non omettere il CLOUD Act nelle informative privacy. Se un cliente ti chiede di redigere o revisionare un’informativa privacy per un’azienda che usa servizi cloud USA, l’assenza di qualsiasi riferimento al rischio CLOUD Act è un difetto sostanziale del documento. Il Garante italiano ha già richiamato questa omissione in alcune delle sue decisioni recenti sulle sanzioni GDPR.
Domande frequenti
Uno studio legale che usa Google Workspace viola il GDPR?
Non automaticamente, ma deve verificare tre condizioni: che il DPA firmato con Google incorpori le SCC 2021, che sia stata condotta una Transfer Impact Assessment e che Google LLC risulti certificata nel Data Privacy Framework. Se anche una sola condizione manca, il trasferimento dati verso gli USA è a rischio di non conformità e il titolare del trattamento — lo studio — risponde in prima persona.
Cosa prevede il Data Act UE per i contratti cloud già in essere?
Il Regolamento UE 2023/2854 si applica dal 12 settembre 2025. Dall’art. 25 in poi impone ai fornitori cloud di garantire portabilità dei dati, eliminare costi di switching ingiustificati entro tre anni e vietare clausole tecniche o contrattuali che creino dipendenze artificiali. I contratti già in essere devono essere adeguati entro quella data; è consigliabile avviare la negoziazione ora.
Un comune può usare Microsoft 365 per archiviare atti amministrativi?
Dipende dalla classificazione ACN dei dati trattati. Per dati ordinari, Microsoft 365 è utilizzabile se il fornitore è qualificato ACN (Microsoft lo è per alcune configurazioni). Per dati critici o strategici, occorre una configurazione cloud dedicata con garanzie di localizzazione e isolamento certificati ACN. Usare la versione standard commerciale per dati critici della PA è fuori dalle regole della Strategia Cloud Italia.
Fonte di riferimento: AgendaDigitale