Schweizerform LogoSchweizerform
Back to Blog

Sovranità dei dati svizzera

La residenza dei dati non è solo una casella da spuntare. Scoprite perché l'hosting svizzero conta per i dati dei moduli: il quadro giuridico, il problema del CLOUD Act statunitense, la questione dell'adeguatezza nLPD e cosa significa davvero per i vostri rispondenti.

Sovranità dei dati svizzera

Quando le organizzazioni valutano uno strumento per moduli, l'"hosting dei dati" è di solito una nota a piè di pagina — quando compare. La maggior parte degli acquirenti lo tratta come un dettaglio di infrastruttura, qualcosa che il team IT verifica nel modulo d'acquisto. Non lo è. Il paese in cui i dati del modulo risiedono fisicamente determina quali leggi li governano, quali autorità possono compellerne l'accesso e quali garanzie potete onestamente offrire alle persone che li compilano.

In questo articolo spieghiamo perché la sovranità svizzera dei dati è più di marketing, come si confronta con l'hosting UE e USA, cosa fa davvero il CLOUD Act e quando "ospitato in Svizzera" cambia sostanzialmente la risposta a "chi può leggere i miei dati?".

A chi è rivolto questo articolo

Ad acquirenti, responsabili IT, DPO, responsabili di conformità e chiunque valuti dove conservare dati sensibili. Non serve un background giuridico; traduciamo i quadri in implicazioni pratiche.

La sovranità dei dati sono tre cose, non una

La "sovranità dei dati" è spesso usata come scorciatoia per "ospitato nel paese X". È incompleto. In pratica il concetto copre tre domande stratificate che devono essere risposte insieme, non sostituite l'una all'altra.

  • Residenza dei dati — dove i byte risiedono fisicamente su disco
  • Legge sulla protezione dei dati — quale quadro regola il trattamento, il titolare e i diritti degli interessati
  • Accesso legale e portata extraterritoriale — quali governi possono legalmente obbligare il fornitore a consegnare i dati, indipendentemente dalla residenza

Queste tre possono divergere. Un server fisicamente a Francoforte, gestito da un'azienda con sede negli USA, ricade sotto il diritto tedesco per la relazione di trattamento ma può restare raggiungibile da un ordine CLOUD Act contro la casa madre. Archiviare dati nell'UE non li mette automaticamente fuori dalla portata del diritto USA. La sovranità svizzera è esattamente la combinazione: residenza, legge applicabile e struttura societaria tutte allineate alla giurisdizione svizzera.

Cosa offre davvero il diritto svizzero

La Svizzera ha un quadro giuridico distintivo e, ai fini della protezione dei dati, favorevole. Quattro elementi contano di più in pratica.

La nLPD, in vigore da settembre 2023

La legge federale riveduta sulla protezione dei dati ha modernizzato il diritto svizzero sulla privacy portandolo a uno standard ampiamente allineato — e per alcuni aspetti più severo — del GDPR dell'UE. Riconosce la crittografia come misura tecnica, impone obblighi di notifica di violazione ai titolari e, rilevante per i decisori, prevede sanzioni penali fino a CHF 250'000 contro le persone responsabili per violazioni intenzionali.

Una decisione di adeguatezza UE

La Commissione europea ha formalmente riconosciuto la Svizzera come paese con un livello adeguato di protezione dei dati. In pratica i dati personali possono fluire dall'UE alla Svizzera senza garanzie aggiuntive come clausole contrattuali standard. Per molte aziende UE l'hosting svizzero è quindi giuridicamente più semplice di quello USA, non più complesso.

Tutele costituzionali della privacy

L'articolo 13 della Costituzione federale svizzera sancisce il diritto alla privacy e alla protezione dei dati personali — una rara tutela di rango costituzionale. La supervisione federale sul trattamento è affidata all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), un'autorità indipendente.

Limiti all'accesso extraterritoriale

La Svizzera non è membro dell'UE e non è soggetta al CLOUD Act né a regimi analoghi di divulgazione extraterritoriale. Il diritto svizzero richiede procedure formali di assistenza giudiziaria internazionale prima che autorità straniere possano accedere a dati ospitati in Svizzera — un processo lento, documentato e soggetto al controllo giudiziario svizzero.

Il CLOUD Act statunitense, spiegato chiaramente

Il Clarifying Lawful Overseas Use of Data Act (CLOUD Act), approvato nel 2018, è la legge statunitense più incisiva per i dati non-USA. Consente alle autorità USA di obbligare i fornitori con sede negli Stati Uniti a produrre dati sotto il loro "possesso, custodia o controllo" — indipendentemente da dove nel mondo tali dati risiedano fisicamente.

L'implicazione pratica per i dati dei moduli è più netta di quanto la maggior parte degli acquirenti immagini:

  • Se il vostro fornitore è una società USA — o una sua controllata — e detiene chiavi di decifratura, i vostri dati possono essere richiesti da un'autorità USA anche se il server è fisicamente a Francoforte, Dublino o Zurigo
  • Al fornitore può essere vietato notificarvi che è arrivata una richiesta (l'obbligo di riservatezza è la regola)
  • Gli obblighi GDPR del fornitore non superano quelli del CLOUD Act; coesistono, e i fornitori USA in genere applicano prima il diritto statunitense
  • La crittografia a riposo sul server non sconfigge il CLOUD Act se il fornitore controlla le chiavi — consegna i dati insieme ai mezzi per decifrarli

Le uniche due risposte che sopravvivono al CLOUD Act

(1) Il fornitore non è di proprietà USA e non opera infrastrutture USA. (2) Il fornitore è a conoscenza zero — anche obbligato, può produrre solo testo cifrato. L'hosting svizzero combinato con la crittografia a conoscenza zero offre entrambe le proprietà. L'una senza l'altra è più debole.

L'hosting UE non è una risposta universale

"Ospitato nell'UE" è diventato sinonimo di "al riparo dall'accesso legale estero". È un buon punto di partenza ma incompleto. Tre attriti meritano onestà:

  • La sentenza Schrems II (2020) ha invalidato il Privacy Shield UE-USA. Il Data Privacy Framework 2023 ripristina un canale di trasferimento, ma è oggetto di contestazione costituzionale e si regge su basi meno stabili di quanto molti acquirenti suppongano
  • Il CLOUD Act si applica alle società con sede negli USA indipendentemente dalla localizzazione dei loro datacenter UE. I grandi cloud USA con regioni UE rimangono legalmente raggiungibili
  • I trasferimenti intra-UE tra stati membri avvengono sotto GDPR ma restano trasferimenti. Regole nazionali (IT-Sicherheitsgesetz tedesco, SecNumCloud francese) aggiungono livelli che un singolo claim "ospitato UE" non cattura

Nulla di tutto ciò significa che l'hosting UE sia cattivo. Significa che "ospitato UE" non è una categoria monolitica e non risolve automaticamente il problema dell'accesso extraterritoriale. Per gli acquirenti che vogliono una risposta chiara e difendibile, la Svizzera — fuori dall'UE, adeguata secondo il diritto UE, non soggetta al CLOUD Act — è spesso una posizione più pulita dell'inseguire sotto-distinzioni tra stati membri UE.

Cosa risolve davvero l'hosting svizzero — minaccia per minaccia

ScenarioCosa cambia con l'hosting svizzero
Richiesta CLOUD Act USA contro il vostro fornitoreIl fornitore svizzero è fuori portata; la richiesta dovrebbe passare dall'assistenza giudiziaria svizzera
Conformità del trasferimento UE-fornitore (nLPD, GDPR)L'adeguatezza svizzera semplifica i trasferimenti dall'UE; nessuna SCC necessaria
Obblighi di notifica di violazione (nLPD art. 24)L'autorità di vigilanza è l'IFPDT; processo mono-giurisdizione
Segnale di fiducia per il rispondente"Ospitato in Svizzera" è un segnale riconoscibile e di alta fiducia nei mercati europei
Rischio di sorveglianza stataleIl diritto svizzero vieta la sorveglianza di massa; l'accesso mirato richiede autorizzazione giudiziaria
Esercizio dei diritti degli interessatiI rispondenti hanno un chiaro ricorso all'IFPDT; nessuno scarto giurisdizionale

Cosa non risolve l'hosting svizzero da solo

L'hosting è uno strato. È necessario per certe garanzie ma non sufficiente per l'insieme. Una descrizione onesta dei suoi limiti:

  • L'hosting svizzero senza crittografia lascia i vostri dati leggibili dal personale del fornitore — e quindi da chiunque comprometta il fornitore
  • Un datacenter svizzero gestito da un cloud USA può restare nell'ambito del CLOUD Act — la domanda rilevante è il controllo societario, non solo la posizione fisica
  • L'hosting svizzero non protegge dalle vulnerabilità applicative dello strumento stesso
  • L'assistenza giudiziaria esiste. È lenta, documentata e controllata dai giudici — ma resta un canale reale per cui, in casi appropriati, autorità straniere possono ottenere dati
  • L'hosting svizzero è rilevante soprattutto per lo strato di archiviazione. Se i dati sono poi esportati via integrazioni verso servizi USA (CRM, email, analytics), la rivendicazione di sovranità vale solo fino a quel punto

Per questo Schweizerform combina hosting svizzero e crittografia end-to-end a conoscenza zero. Le due proprietà si completano: l'hosting svizzero affronta la questione giurisdizionale, la conoscenza zero affronta cosa un fornitore anche obbligato potrebbe divulgare. Nessuna da sola è forte come entrambe insieme.

Sei domande per individuare la vera posizione di sovranità di un fornitore

Il modo più rapido di tagliare il marketing sono le domande precise. "Ospitato in Svizzera" può significare molte cose — le seguenti impongono precisione.

  1. Dove sono archiviati fisicamente i dati — città e operatore del datacenter?
  2. Quale entità giuridica gestisce il servizio, dove ha sede e appartiene a una casa madre in un'altra giurisdizione?
  3. Il vostro servizio è soggetto al CLOUD Act USA o a ordini extraterritoriali equivalenti per via della struttura societaria?
  4. Detenete chiavi di decifratura dei dati clienti? Se sì, dove sono archiviate e sotto quale giurisdizione?
  5. Quali sub-responsabili utilizzate (CDN, email, SMS, backup), dove si trovano e con quali accordi?
  6. In caso di richiesta legale di un'autorità non svizzera, qual è il processo e avvisereste il cliente interessato?

Una posizione di sovranità pulita ha tre proprietà

(1) Dati archiviati in Svizzera, (2) fornitore è un'entità giuridica svizzera fuori portata di leggi extraterritoriali come il CLOUD Act, (3) crittografia a conoscenza zero perché anche una richiesta svizzera legale produca solo testo cifrato. Chiedete tutte e tre — non accettate meno per dati sensibili.

Chi ha davvero bisogno dell'hosting svizzero

Non ogni modulo giustifica l'hosting svizzero. Per un RSVP pubblico o un sondaggio impersonale è eccessivo. Ma per diverse categorie di dati è quasi l'unico default sensato:

  • Settori regolati svizzeri — banche, assicurazioni, sanità, diritto — in cui le autorità si aspettano localizzazione dei dati
  • Settore pubblico e istruzione svizzeri soggetti a regole federali o cantonali di localizzazione
  • Organizzazioni che raccolgono dati di residenti svizzeri in categorie sensibili nLPD (salute, religione, biometria)
  • Giornalismo e ONG che trattano dati di fonti o beneficiari politicamente sensibili
  • Studi legali dove il segreto professionale non deve essere esposto a procedimenti stranieri
  • Organizzazioni internazionali e missioni diplomatiche che si aspettano neutralità svizzera
  • Qualsiasi azienda che voglia dimostrare a clienti o commissioni di gara che la propria catena di conformità termina in Svizzera

Dove si colloca Schweizerform

Schweizerform opera come entità svizzera con infrastruttura svizzera. La combinazione non è un upsell né un add-on premium — è la base:

  • I dati sono archiviati in datacenter svizzeri, su tutti i piani incluso quello gratuito
  • L'entità operativa è svizzera e non è controllata da una casa madre non svizzera — la portata del CLOUD Act non si applica via struttura societaria
  • L'architettura è a conoscenza zero: una richiesta legale di autorità svizzera produrrebbe solo testo cifrato, perché non deteniamo chiavi di decifratura
  • I sub-responsabili sono minimizzati e le loro giurisdizioni dichiarate
  • I rispondenti — i vostri utenti — beneficiano delle stesse garanzie di sovranità indipendentemente dal paese da cui compilano il modulo

La conclusione

Dove risiedono i dati dei vostri moduli non è una voce di una checklist di conformità. Determina quali leggi, quali autorità e quali strutture societarie si frappongono tra una richiesta legale e le informazioni dei vostri rispondenti. L'hosting svizzero — abbinato alla crittografia a conoscenza zero e a un'entità operativa svizzera — è oggi una delle risposte più pulite disponibili: giuridicamente, operativamente e come segnale di fiducia.

Per la maggior parte dei moduli non importa. Per qualsiasi dato che causerebbe danno se esposto — medico, legale, finanziario, HR, whistleblower — la catena giurisdizionale non è un dettaglio. È l'essenza.

Schweizerform combina hosting svizzero e crittografia end-to-end a conoscenza zero su ogni piano, incluso quello gratuito. Sovranità come default, non come funzionalità premium.

Avvertenza: Questo articolo è informazione generale, non consulenza legale, regolatoria o di conformità. Le descrizioni di nLPD, GDPR, CLOUD Act statunitense, Schrems II, la decisione di adeguatezza UE per la Svizzera e i quadri correlati sono riassunte a livello concettuale e sono soggette a continui cambiamenti legali e regolatori. L'analisi giurisdizionale dipende dai fatti specifici — struttura societaria, rapporti contrattuali, tipo di dati coinvolti. Consultate uno specialista legale qualificato nella vostra giurisdizione prima di affidarvi a uno di questi riassunti per decisioni di conformità o acquisto.