Residenza dei Dati — Sistemi AI, GDPR e AI Act Europeo
Concetto chiave: La residenza dei dati determina dove i dati personali risiedono fisicamente e vengono trattati. Per i sistemi AI in ambito enterprise non è una preferenza infrastrutturale — è un requisito giuridico ai sensi del GDPR, un rischio di procurement ai sensi dell'AI Act europeo, e una clausola sempre più esplicita nei contratti con i fornitori enterprise.
Cos'è la Residenza dei Dati?
La residenza dei dati indica la posizione geografica in cui i dati sono fisicamente conservati ed elaborati. In ambito enterprise, "residenza dei dati" indica tipicamente il paese o la regione in cui i server di un cloud provider custodiscono ed elaborano i dati di un'organizzazione, compresi gli stati in transito e a riposo. Per i sistemi AI in particolare, la residenza riguarda: i dati di input inviati ai modelli AI (richieste di inferenza), i dati di addestramento e fine-tuning usati per sviluppare i modelli, i log degli output AI e le tracce di audit, e qualsiasi rappresentazione intermedia creata durante il trattamento AI.
La residenza dei dati è distinta — ma correlata — dalla sovranità dei dati (il principio per cui i dati sono soggetti alle leggi del paese in cui si trovano) e dalla localizzazione dei dati (requisiti giuridici in alcune giurisdizioni di mantenere determinati dati all'interno di confini nazionali o regionali). Nel contesto UE, i termini vengono spesso usati in modo intercambiabile nei contratti B2B.
Perché è Importante
Restrizioni GDPR sui trasferimenti transfrontalieri. Il Capitolo V del GDPR vieta il trasferimento di dati personali verso paesi al di fuori del SEE salvo che si applichi uno dei meccanismi del Capitolo V: decisione di adeguatezza, Clausole Contrattuali Standard (SCC), Norme Vincolanti d'Impresa o una deroga. Quando un fornitore AI tratta dati personali UE su infrastrutture al di fuori del SEE — anche solo per i millisecondi di un'inferenza — si è verificato un trasferimento che deve trovare copertura giuridica.
Giurisdizione dell'AI Act. L'AI Act europeo si applica a qualsiasi sistema AI i cui output influenzino persone nell'UE, indipendentemente da dove il sistema sia ospitato. Tuttavia, il luogo di hosting determina quale autorità di vigilanza ha giurisdizione primaria e se si applicano contestualmente le restrizioni GDPR sui trasferimenti. Un sistema AI ospitato interamente nel SEE ha uno scenario di conformità più semplice rispetto a uno distribuito su data center negli Stati Uniti e in Asia.
Requisiti settoriali specifici. Istituzioni finanziarie (in base alle linee guida EBA), sanità e organizzazioni del settore pubblico sono soggetti a requisiti di residenza dei dati che possono imporre obblighi più stringenti del solo GDPR. In Italia, i framework di procurement CONSIP/MePA per strumenti AI nel settore pubblico includono sempre più spesso la residenza dei dati nell'UE come criterio di qualificazione obbligatorio.
Meccanismo Principale: Le Regole GDPR sui Trasferimenti per l'AI
I principali strumenti giuridici per regolare la residenza dei dati nei contratti con fornitori AI sono:
Clausole Contrattuali Standard (SCC, 2021/914/UE). Le SCC aggiornate dalla Commissione Europea (efficaci da settembre 2021) rappresentano la base giuridica principale per la maggior parte dei trasferimenti AI da UE verso USA e paesi terzi. Il Modulo 2 copre i trasferimenti titolare-responsabile; il Modulo 3 copre i trasferimenti responsabile-sub-responsabile (rilevante per la catena dei sub-responsabili del trattamento). Le SCC devono essere incorporate per riferimento nel DPA (accordo di trattamento dei dati).
Transfer Impact Assessment (TIA). Le autorità di vigilanza si aspettano che, dove vengono usate SCC, le parti abbiano valutato se il regime giuridico del paese di destinazione mina la protezione garantita dalle SCC. Per i sistemi AI con infrastruttura ospitata negli USA, il TIA deve affrontare l'esposizione alla sorveglianza ai sensi del FISA 702 e dell'Executive Order 12333.
Impegno di residenza dati nell'UE. Il risultato di procurement più netto per le imprese regolamentate nell'UE è un fornitore AI con infrastruttura esclusivamente europea — i dati che non lasciano mai il SEE non richiedono SCC, né TIA, ed eliminano completamente il rischio di trasferimento.
Casi Limite
Deployment multi-regione. I fornitori AI che operano su più regioni AWS/GCP/Azure possono trattare dati personali UE in regioni UE durante il normale funzionamento, ma instradarli verso regioni USA durante failover, escalation al supporto o inferenza del modello. Gli impegni di residenza nei contratti devono coprire tutti gli scenari di trattamento, non solo il percorso di produzione principale.
Residenza per addestramento vs. inferenza. I dati possono essere trattati in un data center UE al momento dell'inferenza ma inviati a infrastrutture USA per il riaddestramente o il fine-tuning del modello. Queste sono attività di trattamento distinte e possono avere implicazioni di residenza diverse. I DPA enterprise dovrebbero specificare i requisiti di residenza separatamente per inferenza e addestramento.
Dati di log e telemetria. I log di audit, la telemetria delle prestazioni e le storie degli output AI sono spesso trattati come dati infrastrutturali piuttosto che personali — ma se contengono identificatori personali o possono essere collegati a individui, sono dati personali soggetti agli stessi requisiti di residenza.
Knowlee e la Residenza dei Dati
Knowlee tratta i dati dei clienti UE su infrastrutture ospitate nell'UE. L'isolamento per-tenant di Supabase garantisce che i dati personali di ciascun cliente rimangano nel proprio ambiente dati designato. Per i clienti con requisiti espliciti di residenza dei dati (settori regolamentati, pubblica amministrazione), Knowlee fornisce impegni contrattuali di residenza dei dati che specificano le regioni UE in cui i dati sono conservati ed elaborati.
Il DPA di Knowlee incorpora le Clausole Contrattuali Standard (Modulo 2) per qualsiasi trasferimento tecnicamente necessario e documenta i relativi Transfer Impact Assessment. L'elenco dei sub-responsabili specifica il profilo di residenza dei dati di ciascun sub-responsabile. Il framework GDPR-compliant e ISO 42001-allineato di Knowlee garantisce che gli obblighi di residenza siano tracciati a livello di sistema di gestione AI — non solo come clausole contrattuali individuali — rendendo audit e verifica semplici per i team di procurement e legali enterprise.