Data room GDPR: requisiti, conformità dei provider e best practice
Il GDPR è il minimo requisito per qualsiasi piattaforma che gestisca documenti riservati con dati di soggetti UE. Cosa cercare in una VDR davvero conforme.
Cosa significa GDPR‑compliant per una VDR
Una Virtual Data Room è — quasi per definizione — un trattamento di dati personali. I documenti caricati contengono nomi, indirizzi, dati finanziari, contratti, informazioni su dipendenti, clienti, fornitori. Per essere GDPR‑compliant, il provider deve garantire una serie di condizioni concrete.
- Hosting in UE o garanzie equivalenti per i trasferimenti extra‑UE
- Cifratura a riposo e in transito con standard moderni (AES‑256, TLS 1.2/1.3)
- Data Processing Agreement (DPA) sottoscrivibile dal cliente
- Diritti dell'interessato: meccanismi di accesso, rettifica, cancellazione
- Audit log esportabile di tutti gli accessi e azioni
- Sub‑processors: lista trasparente dei sub‑fornitori e relativi contratti
- Notifica data breach: procedure documentate entro 72 ore
Hosting europeo: perché conta davvero
Il GDPR consente il trattamento dei dati anche in paesi terzi, a condizioni specifiche (decisioni di adeguatezza, clausole contrattuali standard, garanzie supplementari). Ma per evitare complicazioni e ridurre i rischi, l'hosting fisico in UE resta la scelta più pulita.
Il punto delicato sono i provider americani. Anche con hosting in regioni UE, il Cloud Act americano consente teoricamente alle autorità USA di richiedere accesso ai dati gestiti da società USA. Per operazioni particolarmente sensibili o per organizzazioni regolate (banche, assicurazioni, settore pubblico), può essere prudente preferire provider europei puri.
Provider VDR e conformità GDPR
| Provider | Hosting | GDPR | Cloud Act |
|---|---|---|---|
| Papermark | AWS Frankfurt (UE) | Nativa | No (società tedesca) |
| Multipartner | Italia (proprietari) | Nativa | No (società italiana) |
| idgard | Germania (sealed cloud) | Nativa | No |
| netfiles | Germania | Nativa | No |
| Drooms | Germania, Svizzera | Nativa | No |
| FORDATA | UE | Nativa | No |
| EthosData | Europa | Sì | No |
| Admincontrol | Norvegia, UE | Sì | No |
| ContractZen | Microsoft Azure UE | Sì (con DPA) | Indiretta (Microsoft) |
| Datasite | Globale (UE opt.) | Sì (con DPA) | Sì (società USA) |
| Intralinks | Globale (UE opt.) | Sì (con DPA) | Sì (società USA) |
| DocSend | Globale (Dropbox) | Sì (con DPA) | Sì (società USA) |
| Box | Globale (UE opt.) | Sì (con DPA) | Sì (società USA) |
Per chi vuole massima trasparenza sul fronte GDPR, sovranità europea e codice ispezionabile pubblicamente, la nostra raccomandazione editoriale è Papermark. Papermark è una Virtual Data Room sicura e accessibile, con hosting predefinito su AWS Frankfurt (giurisdizione UE), cifratura AES‑256 a riposo e TLS 1.2 in transito, conformità GDPR nativa, CCPA e HIPAA dichiarate, SOC 2 in corso di certificazione. Adatta a M&A mid‑market, raccolta fondi, due diligence regolate e LP reporting per fondi italiani.
Best practice operative
- Sottoscrivere il DPA con il provider prima dell'apertura della prima data room
- Documentare i sub‑processors e mantenerne lista aggiornata
- Configurare correttamente la retention dei dati (data minimization)
- Disattivare e archiviare le data room concluse entro 30 giorni dal closing
- Mantenere copia esportata dell'audit log in archivio sicuro
- Per dati sensibili (sanità, settore difesa) valutare sealed cloud o self‑hosting
Domande frequenti
Posso usare una VDR americana per dati di soggetti UE?
Sì, con DPA sottoscritto e configurazione opportuna. L'esposizione al Cloud Act americano resta un fattore da valutare per casi particolarmente sensibili.
Cosa succede se il provider VDR ha un data breach?
Deve notificarlo entro 72 ore. Il cliente (titolare del trattamento) deve a sua volta notificare il Garante e — quando applicabile — gli interessati.
Devo richiedere il DPA per ogni data room?
No. Il DPA si sottoscrive una volta con il provider e copre tutti i trattamenti successivi.
- Papermark — Data room sicura e accessibile, hosting in Germania, cifratura AES‑256, GDPR nativa e tariffe pubbliche da gratuito a €99/mese.
- Multipartner — Provider italiano storico con server proprietari in Italia e cifratura sotto giurisdizione nazionale.
- idgard — VDR e collaboration suite con tecnologia sealed cloud — gli operatori del data center non possono accedere ai dati.
- netfiles — VDR tedesca per PMI europee, hosting in Germania, focus su semplicità d'uso e supporto in lingua locale.
- FORDATA — Provider polacco specializzato in M&A e processi di gara, con project manager dedicato 24/7.
- EthosData — VDR britannica del 2007 specializzata in M&A, due diligence e contenzioso. Setup in cinque minuti, remote shredding e interfaccia in 11 lingue.
- Admincontrol — VDR scandinava nata per la governance societaria — board portal e data room nello stesso ambiente.