Si possono utilizzare per l’archiviazione e il recupero d atti giudiziari?
La risposta, in sintesi, è negativa: l’utilizzo di cloud drive consumer come OneDrive, Dropbox o iCloud per il salvataggio di atti giudiziari è, nella stragrande maggioranza dei casi, non conforme alla normativa italiana ed europea.
L’unica eccezione potrebbe verificarsi per atti interni e non riservati, ma anche in questo caso permangono profili di rischio significativi legati alla sicurezza e alla sovranità dei dati.
Di seguito un’analisi approfondita delle ragioni alla base di questa conclusione.+
Il Quadro Normativo di Riferimento
L’archiviazione di atti giudiziari non è un’attività ordinaria, ma un trattamento di dati particolarmente protetto, soggetto a una complessa stratificazione normativa:
- Regolamento Generale sulla Protezione dei Dati (GDPR): Fissa i principi fondamentali (liceità, correttezza, trasparenza, integrità e riservatezza) e impone obblighi rigorosi in caso di trasferimento di dati extra-UE.
- Codice dell’Amministrazione Digitale (CAD) – D.Lgs. 82/2005: Definisce le regole per la formazione, la gestione e, soprattutto, la conservazione digitale dei documenti della Pubblica Amministrazione e dei soggetti privati che gestiscono documenti rilevanti. Il CAD non considera un semplice “salvataggio” come conservazione a norma di legge.
- Regolamento ACN (Agenzia per la Cybersicurezza Nazionale) : Stabilisce le misure tecnico-organizzative per l’adozione del cloud da parte della PA, classificando i dati in base alla criticità (strategici, critici, ordinari) e richiedendo l’utilizzo di servizi cloud qualificati .
- Regolamento AgID sui Servizi di Conservazione: Stabilisce i requisiti per i “conservatori” (soggetti abilitati alla conservazione sostitutiva a norma di legge) .
2. Analisi dei Rischi per i Principali Cloud Drive
Applicando il quadro normativo ai servizi di OneDrive, Dropbox e iCloud, emergono diverse criticità strutturali.
a. La “Conservazione Sostitutiva” vs. il “Salvataggio”
Uno dei fraintesi più comuni è confondere il salvataggio di un file con la sua conservazione sostitutiva.
- Cosa richiede la legge: La conservazione sostitutiva (artt. 20 e ss. del CAD) è un processo formale che garantisce la conformità del documento all’originale nel tempo. Richiede l’intervento di un conservatore qualificato che appone firme digitali, marche temporali e garantisce i requisiti di autenticità, integrità, affidabilità, leggibilità e reperibilità del documento per tutto il periodo di conservazione (spesso decenni) .
- Cosa offrono OneDrive, Dropbox e iCloud: Offrono uno spazio di archiviazione (storage). Non forniscono il servizio di conservazione a norma di legge. Un atto giudiziario conservato su questi servizi non avrebbe valore legale come copia conforme all’originale a fini probatori.
b. La Titolarità e il Ruolo del Fornitore Cloud
Secondo il GDPR, chi utilizza un servizio cloud (il cliente) è generalmente il Titolare del trattamento, mentre il fornitore cloud è il Responsabile del trattamento .
Tuttavia, con i servizi consumer (OneDrive, Dropbox, iCloud) la situazione è ambigua:
- Condizioni contrattuali unilaterali: Questi provider impongono condizioni standard non negoziabili, nelle quali il cliente non può impartire istruzioni specifiche sul trattamento dei dati.
- Contitolarità: In alcuni casi, le autorità garanti hanno stabilito che il provider cloud può essere considerato Contitolare del trattamento, condividendo le responsabilità e i rischi con il cliente, un aspetto spesso ignorato dalle aziende e dai professionisti .
c. Il Trasferimento di Dati Extra-UE
OneDrive, Dropbox e iCloud sono servizi offerti da aziende statunitensi (Microsoft, Dropbox Inc., Apple Inc.). L’utilizzo di questi servizi comporta quasi sempre il trasferimento di dati al di fuori dello Spazio Economico Europeo (SEE).
- Il problema: Dal 2020, con la sentenza “Schrems II” che ha annullato il Privacy Shield, il trasferimento di dati verso gli USA è possibile solo se il fornitore offre garanzie aggiuntive (clausole contrattuali standard) e se il Titolare (l’utente) effettua una valutazione di impatto che verifichi l’assenza di leggi locali (come il Cloud Act USA) che consentano un accesso sproporzionato ai dati da parte delle autorità di sicurezza americane .
- Il rischio: Nella pratica, per i servizi consumer, il singolo professionista o l’ente difficilmente può condurre questa analisi e imporre garanzie aggiuntive. Inoltre, per la Pubblica Amministrazione italiana, l’utilizzo di cloud non conforme ai criteri di sovranità digitale (dati in Italia o in Europa) è vietato per i dati critici .
d. Sicurezza e Classificazione dei Dati
Gli atti giudiziari spesso contengono dati sensibili, giudiziari e potenzialmente “critici” o “strategici” per il Paese .
- Sicurezza: I servizi consumer offrono un livello di sicurezza standard (password, autenticazione a due fattori). Tuttavia, non offrono le garanzie di un audit continuo (ISO 27001, ISO 27017, ISO 27018) né il segregamento dei dati (architettura multi-tenant) richiesto per dati altamente sensibili, come richiesto per i servizi qualificati ACN .
- Responsabilità: In caso di data breach (violazione dei dati), la responsabilità ricadrebbe comunque sul Titolare (il professionista o l’ente) che ha scelto di utilizzare un servizio non adeguato, con conseguenti rischi di sanzioni da parte del Garante Privacy (fino a 20 milioni di euro o il 4% del fatturato globale) .
3. Cosa Dice la Prassi per i Diversi Soggetti
L’analisi cambia leggermente a seconda di chi utilizza il servizio:
- Pubblica Amministrazione (PA) : Il divieto è pressoché assoluto. La PA deve utilizzare servizi cloud qualificati presenti nel Cloud Marketplace ACN . I cloud drive consumer non sono presenti in questo elenco. La Strategia Cloud Italia (Piano Triennale 2024-2026) impone la migrazione verso infrastrutture nazionali qualificate .
- Avvocati, Notai, Professionisti Privati: Pur non essendo soggetti agli stessi vincoli della PA, sono comunque titolari del trattamento di dati “giudiziari” (categoria particolare di dati ex art. 9 GDPR). Devono quindi adottare misure tecniche e organizzative adeguate al rischio. La scelta di un servizio consumer senza un’adeguata valutazione del rischio, senza la nomina del fornitore a responsabile del trattamento e senza garanzie sul trasferimento extra-UE è difficilmente difendibile in caso di controllo o violazione. La giurisprudenza, in particolare con il provvedimento del 27 novembre 2025 del Garante (citato indirettamente), ha evidenziato come l’uso di tali piattaforme senza le dovute cautele possa configurare una violazione del principio di accountability .
- Imprese Private: Devono valutare la natura degli atti. Se si tratta di contratti o documenti aziendali con valenza giudiziale, valgono le stesse considerazioni dei professionisti. Le imprese di medie e grandi dimensioni che operano in settori critici rientrano anche nel perimetro della Direttiva NIS2, che impone obblighi di cybersecurity ancora più stringenti per i servizi cloud utilizzati .
4. Quali Soluzioni Sono Conformi?
Per utilizzare il cloud in modo conforme per atti giudiziari, è necessario scegliere servizi che offrano specifiche garanzie:
- Servizi di Conservazione Sostitutiva (Qualificati AgID) : Sono la soluzione ideale per archiviare atti giudiziari conclusi. Forniscono la conservazione a norma, generano i metadati necessari e garantiscono il valore legale nel tempo (es. servizi come C.Sost citato dall’ACN) .
- Servizi Cloud Qualificati (Cloud Marketplace ACN) : Per la gestione attiva e l’archiviazione di atti correnti, la PA e i soggetti che vogliono adeguarsi agli standard più elevati possono utilizzare servizi IaaS, PaaS o SaaS qualificati dall’ACN. Questi servizi garantiscono la sovranità digitale (dati in Italia), la conformità alle certificazioni di sicurezza (ISO 27001, ISO 27017) e la piena trasparenza contrattuale .
- Servizi Cloud “Consumer” con Garanzie Aggiuntive (Solo per Aziende/Professionisti) : In via eccezionale, se si utilizza la versione Business/Enterprise di OneDrive o Dropbox (non quella consumer), è possibile stipulare un contratto che nomini il fornitore come Responsabile del trattamento, definire la localizzazione dei dati (es. datacenter in UE) e ottenere impegni scritti sul rispetto del GDPR. Anche in questo caso, resta l’onere per il Titolare di effettuare la valutazione di impatto sul trasferimento di dati extra SEE (ove previsto). Tuttavia, questa strada non è praticabile per la PA e non garantisce la “conservazione sostitutiva” a norma di legge.
Conclusioni
L’utilizzo di OneDrive, Dropbox e iCloud per il salvataggio di atti giudiziari rappresenta, nella quasi totalità dei casi, una pratica non conforme alla normativa italiana ed europea.
Le criticità principali sono:
- Mancanza di conformità al CAD: non forniscono la conservazione sostitutiva a norma.
- Violazione del GDPR: difficoltà a nominare il fornitore come responsabile, problematiche legate al trasferimento di dati extra-UE (soprattutto verso gli USA).
- Inidoneità per la PA: non rientrano nel perimetro della Strategia Cloud Italia e non sono qualificati ACN.
Per i professionisti e le imprese, è obbligatorio effettuare una valutazione dei rischi e adottare misure di sicurezza aggiuntive se si utilizzano questi strumenti. Per le Pubbliche Amministrazioni, l’utilizzo di tali servizi consumer è da considerarsi illegittimo.
Bibliografia e Fonti Normative:
- Regolamento (UE) 2016/679 (GDPR)
- D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale – CAD)
- Regolamento ACN n. 21007/2024
- Determinazione AgID n. 455/2021 (Regolamento servizi di conservazione)
- Sentenza Corte di Giustizia UE “Schrems II” (C-311/18)
- Piano Triennale per l’Informatica nella PA 2024-2026 – Aggiornamento 2026
Alessandro Polese
