scryp
Tutti gli articoli
7 min di lettura

Perché le tue trascrizioni dovrebbero restare nell'UE

Le registrazioni audio di riunioni, interviste o dettature contengono quasi sempre dati personali – voci, nomi, opinioni, talvolta dati sanitari o segreti commerciali. Ciononostante, la maggior parte dei servizi di trascrizione elabora questi dati su server negli Stati Uniti.

Per le aziende europee, gli studi legali, gli studi medici e le pubbliche amministrazioni questo non è solo un rischio teorico – è un problema concreto di protezione dei dati. Questo articolo spiega perché il luogo dell’elaborazione dei dati è decisivo e a cosa dovresti fare attenzione.

Il problema con i server statunitensi

I dati europei su server statunitensi sono soggetti allo US CLOUD Act. Le autorità statunitensi possono richiederne la divulgazione – anche senza un’ordinanza di un tribunale europeo. Questo contraddice direttamente il GDPR ed è stato confermato dalla sentenza Schrems II della Corte di giustizia dell’UE.

Lo US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) consente alle autorità statunitensi di richiedere la divulgazione dei dati da aziende americane – indipendentemente dal paese in cui si trovano i server. Un servizio di trascrizione con sede negli USA è soggetto a questa legge anche se gestisce data center in Europa.

La sentenza Schrems II della Corte di giustizia dell’Unione europea (causa C-311/18, luglio 2020) ha confermato che gli USA non offrono un livello di protezione dei dati adeguato ai sensi del GDPR. Il Privacy Shield è stato dichiarato invalido. L’EU-US Data Privacy Framework (DPF) del 2023 dovrebbe risolvere il problema, ma è già oggetto di contestazione legale.

Per le aziende questo significa: chi consegna registrazioni audio contenenti dati personali a un servizio statunitense si assume il rischio che la base giuridica per il trasferimento dei dati venga nuovamente a mancare.

Cosa significa davvero “dati nell’UE”

Non ogni servizio che pubblicizza “data center nell’UE” offre una reale sovranità dei dati. Tre punti sono decisivi:

  • La sede legale dell’azienda: Un’azienda statunitense con server nell’UE è comunque soggetta al CLOUD Act. Solo un’azienda con sede nell’UE è pienamente soggetta al diritto europeo.
  • Il gestore dell’infrastruttura: Chi gestisce fisicamente i server? Un host europeo come Hetzner è soggetto esclusivamente al diritto europeo. AWS, Google Cloud o Azure – anche con regioni UE – sono aziende statunitensi.
  • Certificazioni: ISO 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni. Conferma che il gestore del data center ha attuato misure di protezione sistematiche per riservatezza, integrità e disponibilità.

Perché Hetzner come data center

scryp elabora e memorizza tutti i dati esclusivamente presso Hetzner in Germania. È una scelta architetturale deliberata:

  • Certificato ISO/IEC 27001 – Il sistema di gestione della sicurezza delle informazioni è regolarmente sottoposto ad audit da revisori indipendenti.
  • Azienda tedesca al 100 % – Nessuna società madre statunitense, nessun accesso tramite CLOUD Act. Hetzner è soggetta esclusivamente al diritto tedesco ed europeo.
  • Data center geo-ridondanti in Germania – I tuoi dati non lasciano mai l’UE.
  • Hardware proprio – Hetzner gestisce i propri server e la propria infrastruttura di rete. Nessuna dipendenza da hyperscaler statunitensi.

Un’azienda austriaca, valori europei

scryp è un’azienda austriaca. L’intero team, la dirigenza e la struttura giuridica si trovano nell’UE. Questo significa:

  • Siamo soggetti esclusivamente al diritto europeo – GDPR, il DSG (Austria), nessun CLOUD Act.
  • Nessuna società madre statunitense può essere costretta a divulgare dati.
  • La nostra informativa sulla privacy segue il diritto austriaco ed europeo – non le leggi sulla protezione dei dati della California o del Delaware.

La crittografia come ulteriore salvaguardia

La sola posizione del server non basta. Anche su server UE i dati possono essere compromessi – tramite attacchi hacker, accessi interni o errori tecnici. Per questo scryp combina la posizione nell’UE con la crittografia lato client:

  • L’audio viene crittografato nel browser prima di raggiungere il server.
  • Le trascrizioni vengono memorizzate crittografate– il server non vede mai il testo in chiaro.
  • Anche in caso di violazione dei dati, i dati sarebbero privi di valore senza la chiave personale dell’utente.

È la differenza decisiva rispetto ai servizi che pubblicizzano “AES-256 at rest” ma elaborano il testo in chiaro sul server, dove possono potenzialmente visualizzarlo.

Checklist: sovranità dei dati nei servizi di trascrizione

  • Dove ha sede l’azienda? (UE vs. USA)
  • Chi gestisce i server? (host UE vs. hyperscaler USA)
  • Il data center è certificato ISO 27001?
  • Il provider è soggetto allo US CLOUD Act?
  • I dati sono crittografati lato client o solo lato server?
  • Le registrazioni originali vengono eliminate dopo l’elaborazione?
  • Esiste un accordo sul trattamento dei dati (DPA) ai sensi dell’art. 28 GDPR?

Conclusione

Il luogo dell’elaborazione dei dati non è un dettaglio di marketing – determina a quale ordinamento giuridico sono soggetti i tuoi dati. Per le aziende europee, la combinazione di un provider con sede nell’UE, un data center UE con certificazione ISO 27001 e la crittografia lato client è il modo più sicuro per elaborare i dati audio nel rispetto della privacy. Chi non offre questa protezione sposta il rischio su di te.

Perché le tue trascrizioni dovrebbero restare nell'UE