{"id":21575,"date":"2025-08-27T10:58:32","date_gmt":"2025-08-27T10:58:32","guid":{"rendered":"https:\/\/wp-staging.sproof.com\/legge-sulla-protezione-dei-dati-in-fase-di-transizione-intervista-con-lesperta-katharina-raabe-stuppnig\/"},"modified":"2026-03-23T21:55:15","modified_gmt":"2026-03-23T21:55:15","slug":"legge-sulla-protezione-dei-dati-in-fase-di-transizione-intervista-con-lesperta-katharina-raabe-stuppnig","status":"publish","type":"post","link":"https:\/\/wp-staging.sproof.com\/it\/legge-sulla-protezione-dei-dati-in-fase-di-transizione-intervista-con-lesperta-katharina-raabe-stuppnig\/","title":{"rendered":"Legge sulla protezione dei dati in fase di transizione: intervista con l’esperta Katharina Raabe-Stuppnig"},"content":{"rendered":"\n
\"Katharina<\/figure>
\n

Con oltre 15 anni di esperienza come avvocato, il suo ruolo di cofondatrice di un comitato consultivo per la protezione dei dati e la sua partecipazione attiva ai procedimenti dinanzi alla Corte di giustizia europea – insieme a Max Schrems e Thomas Lohninger – Katharina Raabe-Stuppnig \u00e8 una delle voci pi\u00f9 influenti nella legislazione europea sulla protezione dei dati. Nel suo studio legale di Wickenburggasse a Vienna, parla del suo percorso professionale, delle sfide del GDPR e della crescente complessit\u00e0 delle nuove leggi digitali dell’UE.<\/p>\n<\/div><\/div>\n\n

Dal diritto dei media alla protezione dei dati: un esperto in Austria<\/h2>\n\n

Katharina Raabe-Stuppnig ha iniziato la sua carriera nel diritto dei media. Ha prestato consulenza a case editrici e societ\u00e0 di telecomunicazioni su questioni di diritto della concorrenza, pubblicit\u00e0 e responsabilit\u00e0 dei media. Il ponte con la protezione dei dati \u00e8 nato quasi automaticamente: “Molti clienti si sono rivolti a me dicendomi: lei conosce i nostri processi e il nostro bilanciamento di interessi – pu\u00f2 supportarci anche nella protezione dei dati?”.<\/p>\n\n

Con l’entrata in vigore del GDPR, la protezione dei dati si \u00e8 spostata al centro della realt\u00e0 aziendale. Le multe milionarie hanno aumentato la pressione. Le aziende avevano bisogno di concetti chiari e si affidavano alle partnership esistenti. Di conseguenza, la legge sulla protezione dei dati si \u00e8 trasformata da argomento periferico a fulcro del suo lavoro.<\/p>\n\n

\n

“Il mio desiderio sarebbe quello di rafforzare l’economia europea – attraverso alternative europee. La strategia digitale e il Data Act vanno nella giusta direzione. L’unica domanda \u00e8: arriver\u00e0 in tempo?”.<\/p>\n\n\n\n

Mag. Kathrina Raabe-Stuppnig<\/p>\n<\/blockquote>\n\n

La protezione dei dati come fattore abilitante<\/h2>\n\n

Dall’introduzione del GDPR nel 2018, la necessit\u00e0 di assistenza legale \u00e8 aumentata enormemente – e rimane elevata. Ci\u00f2 \u00e8 dovuto anche al fatto che il regolamento non fa distinzione tra grandi aziende e piccole imprese. Tutti devono soddisfare gli stessi standard.<\/p>\n\n

“Un sistema di gestione della protezione dei dati funzionante \u00e8 oggi un vero e proprio fattore abilitante”, spiega Raabe-Stuppnig. “Fornisce alle aziende una panoramica dei sistemi, dei processi e dei rischi e costituisce la base per l’ottimizzazione e il miglioramento dell’efficienza”.<\/p>\n\n

Allo stesso tempo, l’ambiente sta diventando sempre pi\u00f9 complesso: nuove leggi come la NIS-2, la legge sulla resilienza informatica, la legge sull’IA e la legge sui dati impongono ulteriori requisiti alle aziende, in tutti i settori. Chi ha gi\u00e0 creato una base stabile per la protezione dei dati ha ora un chiaro vantaggio.<\/p>\n\n

Strategie per la trasformazione digitale<\/h3>\n\n

I problemi per i quali le aziende si rivolgono allo studio oggi sono molti e vari:<\/p>\n\n

    \n
  • Che impatto ha il NIS-2 se sono un fornitore di infrastrutture critiche?<\/li>\n\n\n\n
  • Di quali politiche ho bisogno per l’AI Act?<\/li>\n\n\n\n
  • Come posso gestire i nuovi diritti di accesso ai dati ai sensi del Data Act, senza mettere a rischio il livello di protezione dei dati che ho costruito finora?<\/li>\n<\/ul>\n\n

    Oltre alle valutazioni legali, le questioni strategiche assumono un ruolo sempre pi\u00f9 importante: dove devono essere collocate le responsabilit\u00e0 all’interno dell’azienda? Come armonizzare la conformit\u00e0, la sicurezza informatica e la capacit\u00e0 di innovare? Raabe-Stuppnig e il suo team supportano le aziende non solo nell’implementazione, ma anche nel posizionamento all’interno del nuovo quadro giuridico.<\/p>\n\n

    UE e USA: atteggiamenti di base diversi<\/h2>\n\n

    Una questione particolarmente delicata \u00e8 l’utilizzo di software proveniente da Paesi terzi, ad esempio da parte degli hyperscaler statunitensi. Sebbene esistano leggi sulla protezione dei dati anche negli Stati Uniti, Raabe-Stuppnig afferma che la protezione si applica principalmente ai cittadini statunitensi. Questi regolamenti sono significativamente pi\u00f9 deboli per i cittadini dell’UE.<\/p>\n\n

    “Il problema sta nella ponderazione: gli interessi di sicurezza della NSA hanno spesso la precedenza sulla protezione dei dati dei non americani. La Corte di giustizia europea ha gi\u00e0 stabilito questa sproporzione due volte – e quindi ha rovesciato principi centrali come Safe Harbour e Privacy Shield”.<\/p>\n\n

    Variazione della consapevolezza in Europa dal 2018<\/h3>\n\n

    Dall’entrata in vigore del GDPR, la consapevolezza in Europa \u00e8 cambiata notevolmente. Oggi le aziende sono molto pi\u00f9 sensibili quando si tratta di gestire i dati personali. L’attenzione dei media sulle sentenze in materia di protezione dei dati e sui casi pi\u00f9 importanti ha svolto un ruolo centrale in questo senso.<\/p>\n\n

    “Abbiamo creato uno standard d’oro per la protezione dei dati in Europa”, riassume Raabe-Stuppnig. “Ed \u00e8 piacevole vedere come molte aziende si stiano impegnando attivamente non solo per soddisfare questo standard, ma anche per utilizzarlo come vantaggio competitivo”.<\/p>\n\n

    Cosa rende cos\u00ec delicato il trasferimento dei dati verso gli Stati Uniti e qual \u00e8 la situazione legale nell’UE?<\/h3>\n\n

    Il dibattito sulla protezione dei dati tra l’UE e gli USA \u00e8 complesso e, soprattutto, molto dinamico dal punto di vista giuridico. A differenza di Paesi come la Svizzera, per i quali la Commissione europea ha emesso una decisione di adeguatezza, la situazione negli Stati Uniti era ed \u00e8 molto pi\u00f9 complicata. Tale decisione stabilisce che i dati personali possono essere trasferiti in un Paese terzo perch\u00e9 il livello di protezione dei dati in tale Paese \u00e8 paragonabile a quello dell’UE. In paesi come la Cina o la Russia – e per molto tempo anche negli Stati Uniti – non c’\u00e8 stata questa risoluzione.<\/p>\n\n

    Il trattamento dei dati negli Stati Uniti: un gioco di equilibri legali<\/h4>\n\n

    Ad esempio, non appena le aziende collaborano con fornitori di servizi per l’elaborazione dei dati negli Stati Uniti, devono adottare misure di protezione aggiuntive per mantenere il livello di protezione dei dati richiesto dal GDPR. Questo significa pi\u00f9 lavoro, pi\u00f9 ispezioni obbligatorie e pi\u00f9 rischi.<\/p>\n\n

    Un esempio pratico: anche se si sceglie una sede di server all’interno dell’UE per i fornitori di cloud statunitensi, il problema esiste ancora, ad esempio se la filiale europea \u00e8 sotto il controllo di una societ\u00e0 madre statunitense. In caso di emergenza, le autorit\u00e0 statunitensi, come la NSA, potrebbero richiedere l’accesso ai dati, anche attraverso una catena di comando interna. L’ubicazione del server nell’UE riduce il rischio, ma non lo elimina completamente.<\/p>\n\n

    Dal Safe Harbour al Data Privacy Framework: uno sguardo al passato<\/h4>\n\n

    La storia degli accordi sulla protezione dei dati tra l’UE e gli USA si presenta come una serie di battute d’arresto dal punto di vista legale:<\/p>\n\n

      \n
    • Safe Harbor \u00e8 stato il primo accordo a imporre determinati standard di protezione dei dati alle aziende statunitensi su base volontaria. \u00c8 stato abrogato nel 2015 dalla sentenza Schrems I. <\/li>\n\n\n\n
    • Il Privacy Shield \u00e8 stato il successore, una versione rivista del Safe Harbour. Tuttavia, anche questo accordo \u00e8 stato dichiarato nullo dalla Corte di giustizia europea nella sentenza Schrems II del 2020. <\/li>\n\n\n\n
    • In risposta, \u00e8 entrato in vigore il Data Privacy Framework, sulla base del quale la Commissione europea ha nuovamente adottato una decisione di adeguatezza per gli Stati Uniti.<\/li>\n<\/ul>\n\n

      La nuova decisione, tuttavia, si basa ancora una volta su fondamenta poco solide.<\/h4>\n\n

      Questo perch\u00e9 il Data Privacy Framework si basa su un ordine esecutivo<\/strong> del Presidente degli Stati Uniti – in altre parole, un ordine che pu\u00f2<\/strong> teoricamente essere revocato in qualsiasi momento<\/strong>. I critici dubitano quindi della stabilit\u00e0 a lungo termine di questo quadro. Un’azione legale contro la decisione di adeguatezza \u00e8 gi\u00e0 stata depositata presso la Corte di giustizia europea, ma l’esito \u00e8 incerto. <\/p>\n\n

      Inoltre, l’autorit\u00e0 di controllo statunitense responsabile, il PCLOB<\/strong>, non \u00e8 attualmente in grado di agire perch\u00e9 tre dei suoi cinque direttori sono stati licenziati dall’ex presidente Trump. Il risultato \u00e8 una grande incertezza<\/strong> sulla reale stabilit\u00e0 del meccanismo di protezione dei dati negli Stati Uniti. <\/p>\n\n

      Quanto \u00e8 importante il Data Privacy Framework per le aziende dell’UE?<\/h2>\n\n

      Se state pianificando a lungo termine e volete concentrarvi sulla sicurezza dei dati, non dovreste affidarvi ciecamente al Data Privacy Framework. Come in passato, la situazione legale pu\u00f2 cambiare rapidamente. Il costo delle valutazioni d’impatto sul trasferimento dei dati (TIA)<\/strong> \u00e8 elevato e le violazioni possono comportare sanzioni severe, fino al 4% del fatturato globale annuo<\/strong>. <\/p>\n\n

      I servizi cloud statunitensi sono (ancora) utilizzabili, ma non senza rischi<\/h2>\n\n

      I servizi cloud dei fornitori statunitensi possono attualmente essere utilizzati nel rispetto delle **regole sulla protezione dei dati, a condizione che vengano implementate **adeguate misure di protezione, quali clausole contrattuali standard<\/strong> e misure tecniche di sicurezza<\/strong>. Ma c’\u00e8 ancora un rischio residuo. \u00c8 particolarmente problematico che non esista<\/strong> ancora una crittografia end-to-end adatta all’<\/strong> uso quotidiano<\/strong> per tutti i tipi di utilizzo, ad esempio per il trattamento continuo dei dati (“dati in uso”). <\/p>\n\n

      L’utilizzo dei servizi statunitensi deve quindi essere sempre valutato individualmente<\/strong>: Quanto sono sensibili i dati trattati? Quali misure di sicurezza vengono adottate? E in che misura l’azienda \u00e8 effettivamente in grado di mitigare i rischi? <\/p>\n\n

      Tra bianco e nero e realismo: come le aziende dovrebbero affrontare la protezione dei dati e i fornitori di cloud<\/h2>\n\n

      La questione se le aziende debbano utilizzare solo software e servizi cloud di origine europea – un “completamente o per niente” – sembra a prima vista una posizione chiara. Ma \u00e8 proprio da questo che l’esperta di protezione dei dati Katharina Raabe-Stuppnig mette in guardia. Un principio del genere non \u00e8 solo poco pratico, ma anche difficile da giustificare alle autorit\u00e0. Invece, ogni decisione sull’utilizzo di software o servizi cloud deve essere presa caso per caso, a seconda della sensibilit\u00e0 dei dati trattati e delle misure di protezione specifiche che possono essere adottate.<\/p>\n\n

      Non lasciatevi cullare da un falso senso di sicurezza – anche con il Privacy Framework<\/h3>\n\n

      Un altro tema che attualmente preoccupa molte aziende: Che cosa accadrebbe se la Corte di giustizia europea annullasse il nuovo quadro sulla privacy dei dati<\/strong> tra l’UE e gli USA, come ha fatto in precedenza con “Safe Harbour” e “Privacy Shield”? La risposta \u00e8 chiara: si verificherebbe nuovamente un’enorme incertezza giuridica<\/strong>. Proprio per questo motivo Kargl sta gi\u00e0 consigliando alle aziende di non affidarsi esclusivamente al quadro normativo<\/strong>, ma di concordare clausole contrattuali standard (SCC) aggiuntive<\/strong>. Queste dovrebbero sempre includere una valutazione dell’impatto del trasferimento (TIA)<\/strong>, ovvero un’analisi del rischio di trasferimento dei dati a Paesi terzi. <\/p>\n\n

      Tuttavia, l’avvocato chiarisce anche che se il Data Privacy Framework dovesse effettivamente cadere e la proporzionalit\u00e0 del trasferimento dei dati verso gli USA dovesse essere fondamentalmente messa in discussione, anche i TIA raggiungerebbero i loro limiti. La speranza \u00e8 quindi quella di adottare misure tecniche e organizzative supplementari<\/strong>, soprattutto la crittografia<\/strong>. <\/p>\n\n

      Crittografia: affermazioni e realt\u00e0 divergono<\/h2>\n\n

      Le autorit\u00e0 per la protezione dei dati e la Corte di giustizia europea chiedono ai fornitori di cloud statunitensi una soluzione chiara: i dati devono essere memorizzati solo in forma criptata<\/strong> e la chiave deve essere gestita al di fuori del fornitore<\/strong>, idealmente in Europa e sotto il controllo dell’azienda responsabile dei dati o di un fiduciario europeo. L’obiettivo di questa cosiddetta soluzione di “gestione esterna delle chiavi”<\/strong> \u00e8 quello di garantire che, anche in caso di accesso da parte di autorit\u00e0 statunitensi come la NSA, possano essere trasmessi solo dati criptati, cio\u00e8 inutilizzabili. <\/p>\n\n

      In pratica, per\u00f2, secondo Katharina Raabe-Stuppnig, questo tipo di crittografia pu\u00f2 essere implementato solo per i dati di backup<\/strong>. Non appena i dati vengono elaborati attivamente nella vita di tutti i giorni<\/strong>, \u00e8 necessario accedere a materiale non crittografato. Proprio qui sta il problema: la tecnologia che consente l’elaborazione completa dei dati in uno stato criptato<\/strong> esiste attualmente solo in misura molto limitata<\/strong>, ad esempio per semplici calcoli o stime in scenari specifici. Lo stato dell’arte non \u00e8 ancora sufficiente<\/strong> per un uso diffuso, come richiesto dall’economia. <\/p>\n\n

      Il ruolo dell’Europa: opportunit\u00e0 attraverso il Data Act<\/h2>\n\n

      Nonostante queste sfide, l’avvocato \u00e8 ottimista per il futuro: il Data Act dell’UE<\/strong> traccer\u00e0 una strada importante. I fornitori di cloud saranno obbligati a consentire strategie multi-cloud<\/strong>, ossia a supportare un facile passaggio da un fornitore all’altro, senza costi elevati. Ci\u00f2 contribuir\u00e0 attivamente a rafforzare la sovranit\u00e0 europea nello spazio digitale<\/strong> e a creare pi\u00f9 alternative agli hyperscaler statunitensi<\/strong> nel lungo termine. <\/p>\n\n

      Resta da chiedersi se l’Europa sar\u00e0 in grado di agire in modo pi\u00f9 indipendente e sicuro nello spazio digitale nel tempo<\/strong>. La signora Raabe-Stuppnig \u00e8 comunque fiduciosa: “La volont\u00e0 politica c’\u00e8 e, con un sostegno e una regolamentazione mirati, potrebbero presto emergere valide alternative europee”. <\/p>\n\n

      Una rinuncia generalizzata alle soluzioni di Paesi terzi non \u00e8 n\u00e9 praticabile n\u00e9 legalmente necessaria. Le aziende devono valutare attentamente la sensibilit\u00e0 dei propri dati, i partner adatti e le misure di protezione specifiche da implementare. Chi si affida gi\u00e0 a SCC, TIA e crittografia<\/strong> non solo \u00e8 al sicuro dal punto di vista legale, ma rafforza anche la posizione dell’Europa nella competizione digitale. <\/p>\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Protezione dei dati in Europa – sproof<\/p>\n","protected":false},"author":6,"featured_media":21576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[473],"tags":[],"class_list":["post-21575","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-affari-e-tasse"],"acf":[],"_links":{"self":[{"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/posts\/21575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/comments?post=21575"}],"version-history":[{"count":2,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/posts\/21575\/revisions"}],"predecessor-version":[{"id":157799,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/posts\/21575\/revisions\/157799"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/media\/21576"}],"wp:attachment":[{"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/media?parent=21575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/categories?post=21575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/it\/wp-json\/wp\/v2\/tags?post=21575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}