Documenti nel cloud e GDPR: una checklist pragmatica

Affidare i propri documenti a un servizio esterno è una scelta sensata: meno infrastruttura da gestire, più automazione. Ma i documenti aziendali contengono dati personali — nomi, indirizzi, partite IVA, importi — e questo apre la porta al GDPR. Ecco una checklist concreta, senza panico e senza burocratese.

Non serve essere giuristi per fare le domande giuste. Serve sapere cosa chiedere al fornitore, cosa mettere nel contratto, e cosa verificare periodicamente. La conformità non è un evento una tantum: è come la manutenzione di un impianto.

1. Dove vivono i dati

La prima domanda è geografica: dove sono fisicamente archiviati e analizzati i documenti? Un'infrastruttura interamente europea semplifica enormemente la conformità, perché evita i trasferimenti extra-UE e le relative garanzie aggiuntive. Chiedilo sempre, e mettilo nero su bianco.

Attenzione ai dettagli: «server in Europa» non basta se l'elaborazione AI o il backup finiscono altrove. Chiedi regione di compute, regione di storage, regione di disaster recovery. E se usano sub-fornitori (hosting, email transazionale), devono comparire nel registro trattamenti e nel DPA.

2. Per quanto tempo restano

Il GDPR ama la minimizzazione: non conservare dati più del necessario. Un buon servizio ti lascia configurare il periodo di conservazione e, soprattutto, cancella in automatico i documenti scaduti. La conservazione «per sempre» è comoda ma è un rischio, non una feature.

• Periodo di conservazione configurabile per organizzazione
• Cancellazione automatica e definitiva oltre la finestra
• Cancellazione su richiesta di un singolo documento o di un intero cliente
• Prove di cancellazione (log) per audit interni

3. Chi può accedere

In un servizio multi-cliente, la domanda chiave è: la mia azienda vede solo i propri dati? L'isolamento tra clienti dev'essere garantito a livello tecnico e, idealmente, verificato da test automatici. Sul fronte interno, conta chi nello staff del fornitore può accedere e con quali tracciamenti.

Per gli studi professionali il tema è ancora più delicato: un commercialista che gestisce cento clienti non può permettersi un «leak» tra organizzazioni. Ruoli, permessi e audit log non sono optional.

4. AI e trattamento dei dati

Con l'AI di mezzo, due domande in più: i tuoi documenti vengono usati per addestrare modelli? E dove gira l'elaborazione? Le risposte giuste sono «no» e «in UE». In più, l'AI Act europeo aggiunge obblighi di trasparenza: un buon fornitore te li spiega senza giri di parole.

Chiedi anche retention dei log di inferenza, se esistono prompt che includono dati documentali, e come gestiscono incidenti (data breach notification entro 72 ore verso il titolare).

5. Contratto e ruoli

Tu sei il titolare del trattamento sui dati dei tuoi clienti e fornitori; il fornitore del servizio di estrazione è in genere responsabile (processor). Serve un DPA chiaro: oggetto, durata, finalità, misure di sicurezza, sub-responsabili, assistenza per diritti degli interessati.

La conformità non è un bollino: è la somma di scelte concrete su dove, per quanto e a chi.

Checklist rapida prima della firma

• DPA disponibile e firmabile
• Dati in UE (storage + compute)
• Retention configurabile con cancellazione automatica
• Isolamento multi-tenant documentato
• Nessun training sui tuoi documenti senza consenso esplicito
• Procedure di export e cancellazione su richiesta

Se un fornitore lo offre subito e senza giri di parole, è un buon segno. LOCRAI nasce con queste risposte già pronte — perché la fiducia, sui dati, si guadagna prima ancora di chiederla.