SOV-EXTRA definizione attiva
← torna al sistema SOV

Sovranita' extra-UE

Dati su piattaforme fuori dall'UE, governato da Standard Contractual Clauses.

WW

// Cosa significa

SOV-EXTRA copre i casi in cui parte del sistema, o l'intero workload, risiede su piattaforme fuori dall'Unione Europea. Tipicamente si tratta di servizi managed di hyperscaler statunitensi (AWS us-east, GCP us-central, Azure US) o modelli AI proprietari (OpenAI, Anthropic, Google) il cui endpoint risiede fuori UE.

Quando ricorriamo a SOV-EXTRA, il trasferimento internazionale di dati personali e' governato da Standard Contractual Clauses approvate dalla Commissione UE, integrate da un Transfer Impact Assessment che valuta i rischi specifici del paese di destinazione. Per i trasferimenti verso gli USA, post-Schrems II le SCC da sole spesso non sono sufficienti a causa di CLOUD Act e FISA 702: per questo affianchiamo supplementary measures tecniche concrete — tipicamente crittografia at-rest e in-transit con chiavi gestite dal cliente (BYOK/HYOK), tokenizzazione dei campi sensibili, pseudonimizzazione e minimizzazione del payload trasferito.

Il cliente riceve documentazione esplicita su cosa e' trasferito, dove, perche', e quali misure tecniche supplementari sono state applicate. E' una scelta consapevole: la usiamo quando una feature non e' replicabile in UE (es. modelli AI di frontiera) o quando il committente accetta il trade-off in cambio di capacita' tecniche specifiche. Non e' mai la scelta di default.

// Dove risiedono i dati

Dove risiedono fisicamente i dati

Compute
Regioni US/Asia di AWS, GCP, Azure, Cloudflare
AI proprietari
OpenAI (US), Anthropic (US), Google (US/global)
Backup
Cross-region all'interno dello stesso provider
CDN
Edge network globale (Cloudflare, Fastly)
Governance
SCC + TIA + DPA + supplementary measures (BYOK, tokenizzazione, pseudonimizzazione)

// Quando sceglierla / quando no

Sceglila quando

  • Quando una feature non e' disponibile in UE (es. GPT-4 Vision, Claude Opus, Gemini Pro)
  • Workload globali dove la latenza fuori UE e' un requisito (e-commerce mondiali, gaming)
  • Dati non personali e non sensibili dove il regime SCC e' sufficiente
  • Prototipazione rapida prima di una eventuale migrazione SOV-EU/IT in produzione

Evitala quando

  • Dati personali sensibili (salute, biometria, condanne penali) senza giurisdizione adeguata
  • PA e in-house pubbliche, salvo eccezioni motivate e autorizzate
  • Settori vincolati a giurisdizione UE per legge (es. DORA: localizzazione dei dati per funzioni critiche e controllo stringente delle sottocontrattazioni ICT verso paesi terzi)
  • Quando il cliente richiede esplicitamente sovranita' UE o IT

// Conformita' e standard

Riferimenti normativi e standard applicabili al livello di sovranita' SOV-EXTRA.

SCC
Standard Contractual Clauses (Decisione UE 2021/914) · raramente sufficienti da sole per US, vanno integrate
TIA
Transfer Impact Assessment caso per caso, spesso conclude con rischi residui
Supplementary measures
Misure tecniche aggiuntive richieste post-Schrems II: BYOK/HYOK, tokenizzazione, pseudonimizzazione
GDPR Art. 46
Trasferimenti con garanzie adeguate
DPF
EU-US Data Privacy Framework · valido solo per aziende US certificate · soggetto a possibili invalidazioni future CJEU
CLOUD Act · FISA 702
Disclosure obbligatoria dei rischi di accesso da autorita' USA

// FAQ specifiche

E' legale trasferire dati personali UE fuori UE?

+
Si', se governato da meccanismi adeguati: SCC, BCR, decisioni di adeguatezza (es. EU-US DPF per provider US certificati). Verso gli USA, post-Schrems II, le SCC vanno tipicamente integrate da supplementary measures tecniche (crittografia con chiavi gestite dal cliente, tokenizzazione). Forniamo sempre documentazione completa con TIA e misure applicate.

Cosa succede se la decisione di adeguatezza UE-US viene invalidata di nuovo?

+
E' gia' successo (Schrems II, 2020). Per questo manteniamo per ogni progetto SOV-EXTRA un piano di migrazione SOV-EU pre-approvato, attivabile in caso di cambio normativo.

Posso usare ChatGPT/Claude in SOV-IT o SOV-EU?

+
Non con i loro endpoint pubblici, che sono SOV-EXTRA per definizione. Per restare in SOV-IT/EU usiamo modelli open-source equivalenti (Qwen, Mistral Large, Llama 3.1) hostati in UE o IT.

// Altri livelli di sovranita'

SOV-IT IT
Sovranita' italiana
Dati, infrastruttura e operations interamente sul territorio italiano.
SOV-EU EU
Sovranita' europea
Dati e infrastruttura nell'Unione Europea, conformita' GDPR garantita.
SOV-CHAIN
Blockchain pubblica
Dati on-chain su reti decentralizzate pubbliche, immutabili e globali.
CONFIGURABILE
A scelta del cliente
Il livello di sovranita' viene scelto in fase contrattuale tra SOV-IT, SOV-EU o SOV-EXTRA.

Vuoi capire quale livello di sovranita' fa per il tuo progetto? Ne parliamo.

$ Parliamone