Introduzione
Quasi tutti i fornitori di telefoni cloud offrono ora un'opzione "regione UE". La maggior parte di essi significa la stessa cosa: il tuo traffico viene instradato attraverso un data center europeo per impostazione predefinita, ma non esiste alcuna applicazione che impedisca ai dati di attraversare un confine se un failover, un processo di backup o un'escalation del supporto li instradano altrove. Per un acquirente in Germania o Francia che seleziona una casella su un modulo di appalto, tale distinzione è invisibile fino all’audit della DPA.
Preferenza della regione rispetto alla residenza dei dati
Una preferenza regionale è predefinita. Quando tutto funziona normalmente, i tuoi dati rimangono dove hai scelto. Il problema sono i percorsi di eccezione: backup automatizzati, disaster recovery tra regioni, strumenti di supporto globale e pipeline di aggregazione dei log possono tutti trasferire dati a giurisdizioni al di fuori delle preferenze senza attivare un avviso o una voce di log che un revisore potrebbe mai vedere.
La residenza dei dati è un vincolo. Ciò significa che il sistema è progettato in modo tale che determinate classi di dati non possano lasciare la regione designata, indipendentemente dallo stato operativo. Il vincolo viene applicato a livello di infrastruttura, non tramite configurazione, policy o formazione, quindi vale sia durante un'interruzione che durante il normale funzionamento.
Cosa significa in pratica il blocco della regione
Il blocco della regione significa che i dati di un inquilino (registrazioni delle chiamate, audio della posta vocale, trascrizioni, record dei dettagli delle chiamate, dati di contatto) vengono archiviati ed elaborati solo all'interno della regione nominata. Il pin viene applicato a livello dati, non a livello applicazione. Quando viene scritta una registrazione, viene inserita in un bucket nella regione specificata e solo in quella regione. Quando viene eseguito un processo di trascrizione, il calcolo che lo elabora viene fornito nella regione. La replica tra regioni di tale classe di dati è disabilitata, non solo scoraggiata.
L'implicazione operativa è che alcuni scenari di failover che sarebbero trasparenti in un'architettura globale diventano visibili in un'architettura bloccata. Se la regione bloccata non funziona, la scelta è di fallire la chiusura (il servizio non è disponibile finché la regione non viene ripristinata) o di fallire l'apertura (i dati attraversano il confine e la garanzia di residenza viene interrotta). Falliamo chiuso. Lo documentiamo chiaramente in modo che gli acquirenti possano prendere una decisione informata e pianificare di conseguenza: la maggior parte ritiene che un'interruzione trasparente del servizio sia un risultato migliore di una violazione silenziosa della residenza.
Cosa appuntiamo e cosa no
Non tutte le classi di dati comportano lo stesso rischio di residenza. Distinguiamo tre classi:
- Dati appuntati: registrazioni di chiamate, audio di messaggi vocali, trascrizioni, CDR, record di contatti. Questi sono fissati nella regione nominata dall'inquilino e non vengono mai replicati al di fuori di essa.
- Dati del piano di controllo: token di autenticazione, flag di funzionalità, record di fatturazione. Questi vivono in un piano di controllo globale. Non contengono contenuti di comunicazione e non rientrano nell'ambito della maggior parte dei requisiti di residenza dei dati.
- Telemetria e log: parametri prestazionali anonimizzati. Aggregati prima di lasciare la regione, quindi nessun record individuale oltrepassa un confine.
Il confine tra dati bloccati e non bloccati è documentato nell'Addendum sull'elaborazione dei dati e disponibile a qualsiasi cliente su richiesta prima che firmi.
Perché questo è importante per gli acquirenti di prodotti sanitari
Gli appalti sanitari nell’UE richiedono sempre più impegni espliciti sulla residenza dei dati, non solo una selezione della regione in un portale. Le restrizioni del Capitolo V del GDPR sui trasferimenti internazionali si applicano a tutti i dati personali che includono contenuti di comunicazione, cosa che avviene quasi sempre nelle registrazioni delle chiamate e nei messaggi vocali. Un fornitore che offre la preferenza per la regione ma non può documentare dove vanno i dati durante un'escalation del supporto o un'esecuzione di backup non può firmare un accordo sul trattamento dei dati che descriva accuratamente la sua architettura.
Possiamo firmarne uno. Il DPA si rifà ai vincoli infrastrutturali effettivi, non alle configurazioni ambiziose. Quando un acquirente del settore sanitario dell'UE chiede quali classi di dati sono bloccate, possiamo rispondere con dettagli specifici invece di chiedergli di rivedere lo SLA.
La domanda di audit da porre a ogni fornitore
La domanda più utile da porre al team di vendita di un fornitore: "Se nella tua regione UE si verifica un'interruzione, dove vanno a finire i miei dati di registrazione delle chiamate?" Un fornitore con residenza dei dati autentica dirà "il servizio fallisce finché la regione non viene ripristinata". Un fornitore con una preferenza regionale dirà qualcosa sul failover senza soluzione di continuità e sulla ridondanza globale. La seconda risposta è operativamente più amichevole e giuridicamente più rischiosa. Scopri quale ti serve prima di firmare.
Sicurezza e conformità su Letsdial
Scritto da Aisha Patel · 11 aprile 2026
Rispondi all'autore