Elido
Blog
15 min di letturaConformità
Pilastro

Residenza dei dati UE per gli strumenti di marketing: cosa chiede davvero il tuo DPO

Cosa significa 'residenza dei dati UE' ai sensi dell'Articolo 3 del GDPR + Schrems II - dove perdono gli strumenti di marketing, la soluzione lato server e una lista di controllo per gli acquisti

Sasha Ehrlich
Compliance · EU residency
EU border with data-flow arrows staying inside versus crossing to US-hosted marketing tools, with seven leak points highlighted

Ho esaminato molti questionari di sicurezza che si aprono con la stessa casella di controllo: "I dati dei clienti sono ospitati nell'UE? Sì / No." Il vendor spunta Sì. Il DPO firma la revisione. Sei mesi dopo, lo stesso DPO nota che ogni evento di clic viene instradato attraverso un Meta Pixel ospitato negli USA e un'istanza HubSpot con sede in California, entrambi attivati nel browser dell'utente prima che l'edge UE di Elido elabori mai la richiesta.

La casella di controllo era onesta. La risposta era anche incompleta. "Ospitato nell'UE" nella homepage di un vendor descrive dove si trovano i server propri della piattaforma. Non dice nulla su cosa fa con i dati il livello marketing collegato a quella piattaforma, né dove vanno, né quale base giuridica copre il trasferimento. Queste sono le domande che pone effettivamente un DPO che ha letto l'Articolo 3 del GDPR e Schrems II.

Questo post è la versione marketer-incontra-DPO di quella conversazione. Dove inizia e finisce la residenza dei dati UE quando stai eseguendo tracciamento dei link e inoltro delle conversioni? Cosa cambia legalmente quando si passa dai pixel lato client alle API di conversione lato server? E cosa dovrebbe dire effettivamente la lista di controllo per gli acquisti?

Il post correlato - GDPR per gli abbreviatori URL - copre gli obblighi a livello di articolo in modo completo. Lo citerò dove rilevante piuttosto che ripeterlo.

TL;DR#

  • "Ospitato nell'UE" copre il piano dati del tuo vendor. Non copre gli script di marketing lato client che si attivano nei browser dei tuoi utenti prima che avvenga il redirect.
  • Schrems II e gli Articoli 44–49 del GDPR impongono requisiti reali sul flusso di dati verso piattaforme pubblicitarie e analitiche ospitate negli USA. L'inoltro delle conversioni lato server sposta il trasferimento al livello server-to-server ma non elimina l'obbligo di trasferimento.
  • L'Articolo 28(2) richiede un elenco scritto di sub-responsabili. Cinque sub-responsabili con regioni nominate sono verificabili; quaranta con voci vaghe sono una responsabilità.
  • La lista di controllo per gli acquisti che segue chiude la maggior parte delle domande del DPO in una singola chiamata di discovery.

Lo stack legale in linguaggio semplice#

Quattro elementi di legge svolgono la maggior parte del lavoro qui. Puoi citarli senza una laurea in legge; i numeri degli articoli sono brevi.

Articolo 3 del GDPR - ambito territoriale. L'Articolo 3(2) applica il GDPR a qualsiasi trattamento di dati di soggetti dell'UE da parte di un titolare o responsabile del trattamento stabilito al di fuori dell'UE, quando il trattamento è correlato all'offerta di beni o servizi a soggetti dell'UE o al monitoraggio del loro comportamento. "Monitorare il loro comportamento" è il tracciamento dei clic. Un vendor di analitiche ospitato negli USA senza entità nell'UE elabora dati personali di soggetti dell'UE ogni volta che il tuo link attiva il loro pixel. L'Articolo 3 dice che il GDPR si applica a quel vendor indipendentemente da dove si trova. La questione della residenza riguarda dove vanno i dati dopo che l'obbligo di trattamento si è già attaccato.

Articolo 28 del GDPR - obblighi del responsabile del trattamento. L'Articolo 28 disciplina il contratto tra il titolare e ciascun responsabile nella catena. La tua piattaforma di accorciamento link, il tuo strumento analitico, il tuo provider email - ciascuno deve firmare un DPA che copra gli otto obblighi da (a) a (h). Un vendor che non fornisce un DPA pre-firmato ti sta chiedendo di assorbire il suo rischio di conformità. Il sub-paragrafo (2) richiede specificamente al responsabile di ottenere l'autorizzazione del titolare prima di coinvolgere sub-responsabili e di imporre obblighi equivalenti a quei sub-responsabili tramite contratto.

Articoli 44–49 del GDPR - trasferimenti verso paesi terzi. Il Capitolo V del GDPR vieta il trasferimento di dati personali verso un paese terzo a meno che non si applichi uno dei meccanismi elencati: una decisione di adeguatezza, Clausole Contrattuali Standard, Norme Vincolanti d'Impresa o le deroghe dell'Articolo 49. Per i trasferimenti verso piattaforme ospitate negli USA, il meccanismo predefinito dall'adozione dell'EU-US DPF nel 2023 sono le SCC integrate dalla certificazione DPF - o il Framework per la Privacy dei Dati UE-USA stesso dove il destinatario statunitense è certificato. Nessun meccanismo elimina il requisito di trasferimento; descrivono come soddisfarlo.

Schrems II - CGUE C-311/18. La sentenza Schrems II ha invalidato il Privacy Shield nel luglio 2020 e ha stabilito che i trasferimenti basati su SCC richiedono una Valutazione d'Impatto del Trasferimento che valuti se il diritto di sorveglianza del paese di destinazione negherebbe ai soggetti dell'UE rimedi efficaci. L'onere della TIA è reale e continuativo. Il Framework per la Privacy dei Dati UE-USA, adottato tramite decisione di adeguatezza della Commissione nel 2023, fornisce un meccanismo attuale per i destinatari statunitensi certificati DPF, ma è oggetto di un contenzioso pendente - NOYB ha segnalato l'intenzione di contestare e una terza sentenza Schrems è plausibile. Le raccomandazioni sulle misure supplementari dell'EDPB (01/2020) rimangono una guida rilevante per i team che vogliono un regime di trasferimento robusto rispetto alla prossima sentenza Schrems. Gli acquirenti nei settori regolamentati contraggono sempre più spesso per un trattamento esclusivamente UE come copertura strutturale contro i cambiamenti del regime giuridico.

Dove le analitiche di marketing tipicamente perdono la residenza UE#

Il divario tra "il nostro abbreviatore è ospitato nell'UE" e "i nostri dati rimangono nell'UE" si apre al livello del marketing lato client. Sei punti di perdita comuni.

Meta Pixel (lato client). L'implementazione standard del pixel invia una richiesta GET dal browser dell'utente a connect.facebook.net, un CDN servito dall'infrastruttura statunitense di Meta. Quella richiesta contiene l'URL completo - inclusi i tuoi parametri UTM - più l'IP dell'utente, gli identificatori cookie e il fingerprint del browser. Lascia il territorio UE nel browser dell'utente prima che il tuo server elabori mai il clic. Meta è incorporata in Irlanda per gli scopi UE e rivendica una base giuridica per il trasferimento ai sensi delle SCC. Quella rivendicazione è oggetto di due sostanziali decisioni delle DPA (la decisione del 2022 di Facebook Ireland dell'autorità di protezione dei dati irlandese, e l'ordine di esecuzione SCC del 2023). Il pixel stesso sta ancora inviando dati ai server statunitensi; la base giuridica è contestata.

Google Tag / GA4 (lato client). Lo snippet gtag.js si attiva dal browser dell'utente verso google-analytics.com e analytics.google.com, entrambi i quali si risolvono in server Google statunitensi a meno che tu non abbia configurato il routing UE di Google Analytics 4 con data_collection_endpoint puntato a region1.google-analytics.com. Anche con l'endpoint UE, Google documenta che parte del trattamento avviene nell'infrastruttura statunitense. L'implementazione predefinita è inequivocabile: lato browser, ospitata negli USA.

Salesforce CRM. La residenza dei dati di Salesforce Marketing Cloud dipende da quale pod si trova il tuo tenant. I clienti UE sui pod UE elaborano i dati di attribuzione degli eventi di clic nell'UE - se lo hai configurato esplicitamente. Il pod predefinito degli USA è ospitato negli USA. La maggior parte dei team che vedo nelle PMI del mercato medio non ha effettuato questa configurazione; hanno un'istanza Salesforce che è stata provisioned da un amministratore con sede negli USA su un pod statunitense e sta instradando i dati CRM di soggetti UE attraverso l'Atlantico da allora.

HubSpot. I pixel di tracciamento email di HubSpot sono serviti dall'infrastruttura HubSpot negli USA. La residenza dei dati UE è disponibile come add-on per i clienti Enterprise; non è l'impostazione predefinita. Il pixel di tracciamento che si attiva quando un contatto apre un'email di marketing è, nella configurazione predefinita, l'invio dell'identificatore di un soggetto UE (l'indirizzo email, codificato nell'URL del pixel) a un endpoint statunitense.

Tracciamento delle aperture email di terze parti. Oltre a HubSpot - Mailchimp, Brevo, Customer.io, ActiveCampaign - si applica lo stesso schema. Gli URL dei pixel di tracciamento sono ospitati sul CDN del provider; la maggior parte dei CDN usa PoP statunitensi per il traffico di origine; il pixel che si attiva dal client email di un utente UE si instrada verso l'infrastruttura statunitense. Le opzioni di regione UE esistono su alcuni piani; non sono predefinite.

L'abbreviatore stesso come transito. Dove un abbreviatore non è ospitato nell'UE, la richiesta di redirect passa attraverso un'infrastruttura non UE. L'evento di clic viene registrato al di fuori del SEE. Questo è il livello di residenza che la casella di controllo "abbreviatore ospitato nell'UE" è effettivamente pensata per affrontare - ed è la più piccola delle sei perdite, perché il redirect è tipicamente un evento di 2-5ms e il registro clic è l'unico dato persistente che l'abbreviatore crea.

L'esposizione tipica per un team di marketing del mercato medio che usa strumenti standard: tre o cinque degli scenari sopra attivi simultaneamente, senza alcuna Valutazione d'Impatto del Trasferimento in atto per nessuno di essi, e una voce nel Registro delle Attività di Trattamento dell'Articolo 30 che nomina "Google Analytics, Meta Pixel" senza documentare quale meccanismo copre il trasferimento.

La soluzione lato server: cosa cambia legalmente, cosa non cambia#

L'inoltro delle conversioni lato server - dove l'edge UE dell'abbreviatore inoltra gli eventi di clic e conversione all'API lato server della piattaforma pubblicitaria anziché permettere al browser dell'utente di attivare il pixel - è la soluzione parziale. Ecco cosa cambia e cosa rimane invariato.

Cosa cambia: Il browser dell'utente non invia più dati direttamente all'endpoint statunitense. Il percorso della richiesta è:

  1. L'utente clicca il link breve
  2. L'edge UE di Elido (la regione UE) riceve la richiesta, registra l'evento di clic localmente
  3. L'edge UE di Elido inoltra il segnale di conversione server-to-server a Meta CAPI / GA4 Measurement Protocol
  4. La piattaforma pubblicitaria riceve l'evento sul loro server statunitense

La Meta Conversions API è l'implementazione canonica di questo schema per Meta. Il GA4 Measurement Protocol è l'equivalente di Google. Il browser dell'utente tocca solo l'edge UE di Elido; non contatta mai direttamente un endpoint di analitiche statunitense.

Diagramma di sequenza che mostra il browser verso l'edge UE (Elido) verso l'API del vendor lato server. Il browser non contatta mai direttamente l'endpoint di analitiche statunitense.

Cosa non cambia: I dati vengono ancora trasferiti a un responsabile del trattamento ospitato negli USA. L'edge UE di Elido origina quel trasferimento. L'obbligo di trasferimento ai sensi degli Articoli 44–49 si applica ancora - hai ancora bisogno di copertura SCC o DPF per il tratto Meta o Google della catena. Ciò che cambia è il controllo pratico del titolare su quel trasferimento: avviene su un server che gestisci, usando credenziali che gestisci, con l'hashing degli identificatori che applichi (SHA-256 sugli indirizzi email, come richiede Meta CAPI), anziché in uno script del browser che hai capacità limitata di verificare o controllare.

Questo è un miglioramento materiale dal punto di vista della minimizzazione dei dati e della sicurezza. Non è un'esenzione completa dal regime di trasferimento. Il tuo DPO deve essere chiaro su questa distinzione prima di firmare la revisione dell'acquisto.

La conseguenza legale dell'inoltro lato server: la tua voce nel Registro delle Attività di Trattamento dell'Articolo 30 per "Meta CAPI" ora documenta un trasferimento server-to-server sotto il tuo controllo, con identificatori con hash prima di lasciare l'infrastruttura UE. Questa è una voce sostanzialmente più pulita rispetto a "Meta Pixel - lato client, originata dal browser, base del trasferimento da determinare." Non è zero trasferimenti; è un trasferimento documentato e controllato.

Articolo 28(2): perché il numero di sub-responsabili è importante#

L'Articolo 28(2) richiede al responsabile di ottenere l'autorizzazione preventiva del titolare prima di coinvolgere sub-responsabili, sia specifica (per vendor) che generale (basata su notifica con diritto di opposizione). Ogni contratto SaaS serio utilizza l'autorizzazione preventiva generale con una finestra di preavviso di 30 giorni. Il titolare firma il DPA; il DPA include un elenco di sub-responsabili; le aggiunte all'elenco attivano una notifica e una finestra di opposizione di 30 giorni.

L'elenco dei sub-responsabili è l'artefatto che il tuo DPO leggerà effettivamente. Cosa include un elenco utilizzabile:

  • Nome del sub-responsabile
  • Posizione del trattamento dei dati (regione dell'hyperscaler, non solo il paese)
  • Ruolo nella catena di trattamento
  • Categorie di dati personali condivisi
  • Base giuridica per qualsiasi trasferimento verso paesi terzi
  • Data di aggiunta
  • Canale di notifica per future aggiunte

L'elenco è anche un segnale su come il vendor pensa alla residenza. Un vendor con cinque sub-responsabili le cui regioni puoi nominare in una frase ha progettato per questo. Un vendor con quaranta sub-responsabili le cui voci recitano "varie regioni globali" non lo ha fatto.

L'elenco dei sub-responsabili di Elido copre cinque vendor - per compute e infrastruttura UE, e-mail UE, pagamenti e CDN - pubblicato su /legal/subprocessors. Quel numero è piccolo per intenzione. Ogni sub-responsabile aggiunge alla superficie del programma privacy del titolare; ogni aggiunta di sub-responsabile attiva un ciclo di notifica e una potenziale finestra di opposizione. Un vendor che può gestire un abbreviatore di livello produzione con cinque sub-responsabili ha fatto scelte esplicite su quali dipendenze di terze parti sono giustificate.

Confronta questo con una piattaforma di analitiche di marketing con 35-40 sub-responsabili. L'elenco è verificabile in linea di principio; in pratica, il responsabile della privacy del titolare sta esaminando quaranta DPA e quaranta Valutazioni d'Impatto del Trasferimento, alcune delle quali mancheranno. Il numero di cinque vendor non è una dichiarazione di marketing. È una scelta operativa con conseguenze reali per il tuo carico di lavoro di conformità.

La lista di controllo per gli acquisti del marketer#

Otto domande. Risposte scritte. Se un vendor può fornirle nella prima chiamata di discovery, il ciclo di acquisto si accorcia di settimane. Se non riesce, questo ti dice qualcosa.

  1. Qual è la specifica regione di hosting per i nuovi dati dei clienti, denominata al livello della regione dell'hyperscaler? (Risposta attesa: una regione UE nominata - ad esempio "AWS eu-central-1" o una regione di data center UE equivalente, non solo "l'UE" come affermazione non supportata.)
  2. La regione di hosting UE è impegnata contrattualmente nel contratto standard con il cliente, o è una pratica operativa che il vendor può modificare senza preavviso? (Risposta attesa: vincolante contrattualmente, specifica al contratto standard, nessun addendum personalizzato richiesto.)
  3. Il contratto standard include un DPA pre-firmato che copre gli obblighi dell'Articolo 28 da (a) a (h)? (Risposta attesa: sì, pre-firmato, disponibile prima della fine della chiamata di vendita.)
  4. Quanti sub-responsabili ci sono nella catena di trattamento standard? Il vendor può nominarli tutti con le loro regioni di trattamento dati? (Risposta attesa: l'elenco completo, nominato, con regioni, disponibile pubblicamente a un URL che puoi collegare nel tuo Registro delle Attività di Trattamento.)
  5. Il vendor utilizza l'inoltro delle conversioni lato server verso le piattaforme pubblicitarie, o il tracciamento delle conversioni avviene lato client nel browser dell'utente? (Risposta attesa per un vendor orientato alla privacy: lato server, con hashing degli identificatori prima che i dati lascino l'infrastruttura UE.)
  6. Qual è l'impostazione predefinita di troncamento IP per la registrazione degli eventi di clic? (Risposta attesa: troncamento a /24 per IPv4, /48 per IPv6, prima della persistenza - ovvero, l'IP completo non viene memorizzato.)
  7. Qual è il SLA per la cancellazione dei soggetti interessati, ed è operativamente realizzabile sullo store degli eventi di clic? (Risposta attesa: 30 giorni o meno, propagato al datastore analitico, confermato da webhook o certificato.)
  8. Quali attestazioni di conformità indipendenti possiede il vendor, e quando è stato chiuso l'audit più recente? (Risposta attesa: ISO 27001 attuale; SOC 2 Tipo II completato o in corso con una data obiettivo; per i carichi di lavoro adiacenti alla sanità, disponibilità del BAA sul piano pertinente.)

Queste otto domande coprono le principali preoccupazioni del DPO senza richiedere una revisione legale nella fase di discovery. Il vendor che risponde a tutte e otto per iscritto nello stesso giorno è pronto per l'acquisto. Il vendor che si rivolge al settore legale prima di rispondere alla domanda tre non lo è.

Strumenti di Elido#

Le specifiche, per riferimento.

Pin della regione a livello di workspace. I nuovi workspace hanno come predefinito la regione UE. I workspace Business ed Enterprise possono effettuare il pin su USA Est o Asia-Pacifico per workspace. Il pin è applicato al livello di routing - non è una preferenza della dashboard che può essere sovrascritta da una modifica della configurazione senza un emendamento del contratto a livello di workspace. La pagina trust documenta l'infrastruttura.

DPA pre-firmato. Il DPA dell'Articolo 28 è incluso nel contratto standard con il cliente. Non è richiesta alcuna negoziazione personalizzata per gli acquirenti UE che necessitano di copertura standard dell'Articolo 28. I contratti Enterprise con diritti di audit aggiuntivi, finestre di approvazione dei sub-responsabili o termini di conservazione personalizzati vengono negoziati separatamente. Il DPA standard è disponibile su /legal/dpa.

Elenco dei sub-responsabili. Pubblicato su /legal/subprocessors. Cinque vendor. Le aggiunte attivano un'email di notifica con 30 giorni di anticipo più un feed RSS per il monitoraggio basato su strumenti. Il diritto di opporsi entro 30 giorni è contrattuale, non amministrativo.

Inoltro delle conversioni lato server. Le credenziali per Meta CAPI, GA4 Measurement Protocol e Mixpanel vengono registrate una volta a livello di workspace. Elido gestisce l'hashing SHA-256 degli identificatori prima del POST in uscita, la deduplicazione tramite il campo event_id e la logica di retry sugli errori upstream transitori. Il trasferimento è server-to-server dall'infrastruttura UE; il browser dell'utente non contatta direttamente la piattaforma pubblicitaria.

ISO 27001. Certificato. SOC 2 Tipo II in corso, obiettivo H2 2026. BAA disponibili sul piano Business per i deployment adiacenti alla sanità.

Per la postura di conformità completa, /solutions/compliance è il riepilogo rivolto al team di acquisto.

Cosa non affermiamo di fare#

Questa sezione esiste perché "residenza dei dati UE" è una frase che i vendor usano con leggerezza, e non dovremmo.

Elido è il livello dei link. Un clic instradato attraverso l'edge UE di Elido rimane all'interno dell'infrastruttura UE al livello Elido. L'evento di clic viene registrato nel nostro archivio di analisi nella regione UE. Il segnale di conversione inoltrato lato server a Meta CAPI lascia l'infrastruttura UE - quel trasferimento avviene per tuo conto, sotto la tua responsabilità di titolare, e devi documentarlo nel tuo Registro delle Attività di Trattamento e coprirlo con il meccanismo di trasferimento appropriato.

Se la tua organizzazione richiede che assolutamente nessun dato personale su soggetti UE lasci il SEE in nessuna circostanza - incluso il tratto di attribuzione alla piattaforma pubblicitaria - la risposta non è un abbreviatore diverso. La risposta è non inviare eventi di conversione a piattaforme pubblicitarie ospitate negli USA. Questa è una decisione aziendale e di marketing, non tecnologica.

Cosa ti dà Elido: un livello dei link che elabora i dati di clic dei soggetti UE nell'infrastruttura UE per impostazione predefinita, con sub-responsabili documentati, un DPA pre-firmato, troncamento IP, inoltro delle conversioni lato server con hashing degli identificatori e un numero di sub-responsabili abbastanza piccolo da poter essere verificato in un pomeriggio. Questo copre in modo pulito l'obbligo di residenza del livello dei link.

La tua piattaforma di email marketing, il tuo CRM, le tue piattaforme pubblicitarie e il tuo data warehouse di analitiche hanno ciascuno la propria postura di residenza. Elido non è la risposta per quelli; siamo la risposta per il livello di redirect e attribuzione dei clic, e non vogliamo esagerare la portata.

Il cornerstone GDPR per gli abbreviatori URL copre il quadro completo degli obblighi del responsabile a livello di articolo, se vuoi la logica di conformità dietro una qualsiasi delle decisioni sopra.

Leggi il cluster di conformità#

Questo post è il cornerstone del percorso di residenza del cluster di conformità. Post correlati: GDPR per gli abbreviatori URL (obblighi del responsabile articolo per articolo) e il prossimo post su Schrems II e i pixel di tracciamento (le conseguenze pratiche dell'attribuzione al livello del browser). Per gli artefatti della pagina trust e del contratto: /trust, /legal/dpa, /legal/subprocessors. Per il riepilogo rivolto alle soluzioni: /solutions/compliance.

Prova Elido

Incolla un URL, ottieni un link breve

Senza registrazione. Il link vive 30 giorni. Iscriviti per conservarlo.

Gratis, nessuna registrazione richiesta · 2 al giorno

Prova Elido

Accorciatore di URL ospitato nell'UE: domini personalizzati, analisi approfondite e API aperta. Piano gratuito - senza carta di credito.

Prova Elido gratisVedi prezzi
Tag
eu data residency
eu hosted analytics
gdpr analytics
schrems ii
marketing compliance
data processing agreement

Continua a leggere