Il problema dei dati fuori dall'UE
Molti provider BSP per WhatsApp hanno server negli Stati Uniti o in Asia. Ogni messaggio WhatsApp inviato o ricevuto tramite questi provider viene elaborato su infrastrutture fuori dallo Spazio Economico Europeo (SEE). Questo costituisce un trasferimento di dati personali extra-UE che richiede specifiche garanzie giuridiche.
Le garanzie accettabili per i trasferimenti extra-UE includono: decisioni di adeguatezza della Commissione Europea (es. per USA con Privacy Shield successore), Clausole Contrattuali Standard (SCC), e Binding Corporate Rules per i gruppi multinazionali. Nella pratica, molti provider BSP non hanno documentazione adeguata su questi trasferimenti.
Il Garante della Privacy italiano ha sanzionato aziende italiane per trasferimenti di dati verso paesi terzi senza adeguate garanzie. Il rischio non e teorico: e una responsabilita concreta per ogni azienda che usa servizi con server fuori dall'UE.
Cosa garantisce un provider con hosting in UE
Un provider BSP con hosting certificato nell'Unione Europea, come Chat API by Roxpay, garantisce che tutti i dati elaborati (numeri di telefono, contenuti dei messaggi, metadati) rimangano all'interno dello SEE. Questo elimina il problema dei trasferimenti extra-UE e semplifica la conformita GDPR.
Con hosting in UE, il DPA (Data Processing Agreement) con il provider BSP e sufficiente per documentare la catena di responsabilita nel trattamento dei dati. Non e necessario implementare SCC o altre garanzie aggiuntive per i trasferimenti, riducendo il carico di compliance.
Per le aziende che trattano dati sanitari, dati finanziari o dati di minori, il requisito di hosting in UE diventa ancora piu critico. In questi settori regolamentati, un provider con server fuori dall'UE potrebbe non essere accettabile indipendentemente dalle garanzie contrattuali.
Come verificare la posizione dei server di un provider
Prima di firmare con un provider BSP, chiedi esplicitamente dove sono localizzati i server di produzione che elaborano i tuoi dati. Richied la documentazione del DPA e verifica che specifichi la posizione geografica dei server. Se il provider non puo fornire questa documentazione, e un segnale di allarme.
Implicazioni pratiche per la privacy policy aziendale
Se usi WhatsApp Business API tramite un provider con server fuori dall'UE, devi aggiornare la privacy policy aziendale per informare gli utenti del trasferimento dei loro dati verso paesi terzi, specificare la base giuridica del trasferimento (SCC, adeguatezza) e i loro diritti in merito.
Con un provider con hosting in UE come Chat API, la privacy policy deve comunque menzionare l'uso di WhatsApp Business API come strumento di comunicazione e il nome del provider BSP. Ma non e necessario includere le clausole specifiche sui trasferimenti extra-SEE, semplificando il documento.
