Vai al contenuto principale
Soluzioni

Gestione Documentale
Conforme al GDPR

Non è solo una casella da spuntare. Ogni decisione architettonica — dove risiedono i dati, come l'AI li elabora, come funziona la crittografia — è stata presa pensando alla normativa UE. Perché siamo un'azienda europea ed è l'unico modo in cui l'avremmo costruita.

Ultimo aggiornamento: Aprile 2026

Hai davvero bisogno di un DMS conforme al GDPR?

  • Se la tua attività conserva documenti contenenti dati personali — nomi, indirizzi, dettagli finanziari, record di impiego — il GDPR si applica a te. Non importa se hai 5 clienti o 50.000. Le sanzioni hanno raggiunto 1,145 miliardi di euro solo nel 2025 e le autorità di regolamentazione si rivolgono sempre più alle PMI, non solo alle Big Tech.
  • Un sistema di gestione documentale conforme al GDPR non ti rende conforme automaticamente. Ma rimuove le barriere tecniche che rendono impossibile la conformità: sapere quali dati possiedi, trovarli quando richiesto, controllare chi vi accede ed eliminarli quando necessario.
  • In sintesi: Se conservi documenti con dati personali su Google Drive, Dropbox o una cartella NAS condivisa, hai un problema di GDPR di cui potresti non essere consapevole. Un DMS appositamente costruito con hosting UE, crittografia e audit trail ti fornisce le fondamenta tecniche richieste dal regolamento.

I 7 principi del GDPR e cosa significano per la gestione documentale

L'Articolo 5 del GDPR definisce sette principi che regolano ogni trattamento di dati personali. Ogni sistema di gestione documentale che utilizzi deve supportare questi principi — altrimenti stai costruendo la conformità su fondamenta che non possono reggere. Ecco cosa significa ogni principio in pratica quando conservi, organizzi e recuperi documenti contenenti dati personali.

Principio Articolo GDPR Implicazioni per la gestione documentale
Liceità, correttezza e trasparenza Art. 5(1)(a) Devi avere una base giuridica per conservare ogni documento contenente dati personali. Il tuo DMS dovrebbe rendere chiaro quali dati sono conservati, perché e come vengono elaborati — gli audit trail e i log delle attività servono a questo requisito di trasparenza.
Limitazione della finalità Art. 5(1)(b) I documenti raccolti per uno scopo (es. l'esecuzione di un contratto) non possono essere riutilizzati senza una nuova base giuridica. Il tuo DMS non deve utilizzare il contenuto dei documenti per scopi non correlati — come l'addestramento di modelli AI sui tuoi dati.
Minimizzazione dei dati Art. 5(1)(c) Conserva solo documenti adeguati, pertinenti e necessari. Un DMS con ricerca full-text e classificazione AI ti aiuta a identificare documenti ridondanti o non necessari e a rimuoverli — invece di tenere tutto "per ogni evenienza".
Esattezza Art. 5(1)(d) I dati personali devono essere mantenuti esatti e aggiornati. Quando un interessato richiede la rettifica ai sensi dell'Art. 16, devi individuare ogni documento contenente le sue informazioni obsolete. La ricerca full-text nel tuo archivio rende questo fattibile.
Limitazione della conservazione Art. 5(1)(e) I dati personali non devono essere conservati più a lungo del necessario. Ciò richiede programmi di conservazione e la capacità di trovare ed eliminare documenti per data, tipo e interessato. Senza un DMS, applicare la conservazione in cartelle sparse è praticamente impossibile.
Integrità e riservatezza Art. 5(1)(f) I documenti devono essere protetti da accessi non autorizzati, perdita accidentale o distruzione. Ciò significa crittografia a riposo e in transito, controlli di accesso basati sui ruoli e sicurezza dell'infrastruttura — non solo una password su una cartella condivisa.
Responsabilità (Accountability) Art. 5(2) Devi essere in grado di dimostrare la conformità, non solo dichiararla. Gli audit trail che registrano chi ha effettuato l'accesso a quale documento, quando e quale azione ha intrapreso sono essenziali. Se un'autorità di controllo chiede prove, "seguiamo le migliori pratiche" non è una risposta.

Requisiti tecnici per una gestione documentale a norma GDPR

Il GDPR non prescrive tecnologie specifiche — l'Articolo 32 richiede "misure tecniche e organizzative adeguate" basate sullo stato dell'arte, sui costi e sul rischio. In pratica, per i sistemi di gestione documentale che gestiscono dati personali, quattro capacità tecniche sono diventate lo standard atteso dalle autorità di controllo. Il modello DPIA standardizzato dell'EDPB di marzo 2026 (v1.0) rafforza questo aspetto richiedendo ai titolari di documentare esattamente queste misure nella valutazione del rischio del trattamento.

Crittografia a riposo e in transito

L'Articolo 32(1)(a) indica la crittografia come misura di sicurezza adeguata. Lo standard del settore è la crittografia AES-256 a riposo e TLS 1.2+ in transito. Veluvanto utilizza SSE-C (Server-Side Encryption con chiavi fornite dal cliente) per i dati a riposo e TLS per tutti i dati in transito. I tuoi documenti sono crittografati dal momento in cui lasciano il browser al momento in cui vengono archiviati — e le chiavi di crittografia non sono condivise con il fornitore dell'infrastruttura.

Controlli di accesso e autenticazione

L'Articolo 32(1)(b) richiede la capacità di garantire la riservatezza continua dei sistemi di trattamento. In pratica, questo significa controllo degli accessi basato sui ruoli (RBAC): non tutti nella tua organizzazione dovrebbero vedere ogni documento. Veluvanto implementa permessi a livello di workspace con ruoli di Amministratore, Editor e Visualizzatore. Ogni utente si autentica individualmente — nessun login condiviso, nessun accesso anonimo. Ogni azione è legata a un'identità verificata.

Audit Trail e registri delle attività di trattamento

L'Articolo 30 richiede ai titolari di mantenere i registri delle attività di trattamento. Per la gestione documentale, questo si traduce nella registrazione automatica di chi ha effettuato l'accesso a quale documento, quando e quale azione ha eseguito (visualizzazione, modifica, download, eliminazione). Veluvanto mantiene log delle attività per workspace che fungono da base per i tuoi registri ex Art. 30. Questi log non sono modificabili e non possono essere eliminati dai membri del workspace.

Accordi sul trattamento dei dati (DPA) e sub-responsabili

L'Articolo 28 richiede un accordo sul trattamento dei dati (DPA) con ogni responsabile che gestisce dati personali per tuo conto. Ciò include il tuo fornitore di DMS, il loro fornitore di infrastruttura cloud e qualsiasi servizio AI utilizzato per l'elaborazione dei documenti. L'elaborazione AI di Veluvanto utilizza l'API Gemini Enterprise di Google nell'ambito di un accordo di trattamento dati a conservazione zero — i tuoi documenti vengono elaborati in memoria e immediatamente eliminati. Non vengono mai memorizzati sui server di Google e mai utilizzati per l'addestramento dei modelli.

Gestione delle richieste degli interessati: un processo in 4 fasi

Ai sensi del GDPR, le persone hanno il diritto di accedere ai propri dati (Art. 15), richiedere la rettifica (Art. 16), esigere la cancellazione (Art. 17) e ottenere i propri dati in un formato portabile (Art. 20). Devi rispondere entro 30 giorni. Per le aziende che si affidano ad archivi email, drive condivisi o archivi cartacei, anche solo localizzare tutti i documenti relativi a una singola persona può richiedere giorni. Un DMS con ricerca full-text riduce questo tempo a pochi minuti.

1

Identificare: Trovare ogni documento contenente le informazioni dell'interessato

Cerca il nome, l'indirizzo email o altri identificatori dell'interessato nell'intero archivio documenti. La ricerca full-text di Veluvanto copre il contenuto di ogni documento — inclusi i PDF scansionati elaborati con OCR. Questo fa emergere fatture, contratti, corrispondenza e qualsiasi altro documento che menzioni l'individuo, indipendentemente dal nome del file o dalla posizione della cartella.

2

Revisionare: Valutare cosa deve essere divulgato, conservato o eliminato

Non tutti i documenti devono essere divulgati o eliminati. Gli obblighi legali (requisiti di conservazione fiscale, obblighi contrattuali in corso) possono prevalere sul diritto alla cancellazione ai sensi dell'Art. 17(3). Esamina i risultati della ricerca e categorizza: documenti da divulgare per una richiesta di accesso, documenti da eliminare per una richiesta di cancellazione e documenti che sei legalmente obbligato a conservare. Documenta il tuo ragionamento — il principio di accountability dell'Art. 5(2) lo richiede.

3

Agire: Esportare, rettificare o eliminare — con un audit trail

Per le richieste di accesso (Art. 15): esporta i documenti pertinenti in un formato comunemente usato. L'esportazione di Veluvanto fornisce i file originali più metadati strutturati. Per la rettifica (Art. 16): aggiorna o sostituisci i documenti inesatti. Per la cancellazione (Art. 17): elimina i documenti identificati. Ogni azione — esportazione, modifica, eliminazione — viene registrata nel log delle attività di Veluvanto con timestamp e identità dell'utente.

4

Confermare: Rispondere all'interessato e conservare la prova della conformità

Rispondi all'interessato entro il termine di 30 giorni confermando l'azione intrapresa. Conserva le voci dell'audit trail come prova di aver soddisfatto la richiesta. Se un'autorità di controllo dovesse indagare in seguito, dovrai dimostrare non solo di aver risposto, ma come hai cercato, cosa hai trovato e cosa hai fatto al riguardo. Il log delle attività funge da prova.

Hosting UE vs USA: Implicazioni legali per la gestione documentale

La posizione dei server della tua gestione documentale non è solo un dettaglio tecnico — è una decisione legale con conseguenze reali. Ai sensi del US CLOUD Act (2018), le autorità statunitensi possono obbligare qualsiasi azienda con sede negli Stati Uniti a consegnare i dati memorizzati sui propri server, indipendentemente da dove si trovino fisicamente. Ciò significa che conservare documenti su Google Drive, Dropbox, OneDrive o Notion — tutte aziende statunitensi — espone i tuoi dati a un potenziale accesso da parte del governo USA, anche se i server sono nell'UE. La sentenza Schrems II (CGUE, luglio 2020) ha invalidato lo Scudo UE-USA per la privacy proprio per questo motivo: le leggi di sorveglianza statunitensi sono state ritenute incompatibili con i diritti fondamentali dell'UE. Il Data Privacy Framework UE-USA adottato nel 2023 fornisce una nuova decisione di adeguatezza, ma le sfide legali sono in corso e l'EDPB continua a raccomandare misure supplementari per qualsiasi trasferimento di dati UE-USA.

Veluvanto elimina completamente questa complessità legale. In quanto azienda ceca registrata e operante secondo le leggi dell'UE, Veluvanto conserva tutti i dati esclusivamente in data center dell'UE. Non esiste una società madre statunitense, nessuna filiale statunitense e nessuna struttura aziendale che possa sottoporre i tuoi dati al CLOUD Act. L'elaborazione AI utilizza l'API Gemini Enterprise di Google con un accordo di conservazione zero — i documenti vengono elaborati in memoria nell'UE e immediatamente eliminati. Nessun dato personale viene trasferito o memorizzato negli Stati Uniti in nessun momento. Per le organizzazioni che devono dimostrare la conformità al GDPR a clienti, partner o autorità di controllo, l'hosting solo UE da parte di una società costituita nell'UE è la posizione legale più solida disponibile.

Checklist di conformità GDPR: Come si posiziona Veluvanto

La trasparenza costruisce la fiducia. Invece di rivendicare una conformità generica, ecco una valutazione onesta di come Veluvanto affronta ogni requisito chiave del GDPR per la gestione documentale. Dove abbiamo delle lacune, lo diciamo chiaramente.

Tutti i dati sono memorizzati all'interno dell'UE? — Sì. Tutti gli archivi di documenti e i backup si trovano in data center dell'UE. Nessun dato lascia l'UE. Veluvanto è una società ceca — nessuna entità madre statunitense, nessuna esposizione al CLOUD Act.
I dati sono crittografati a riposo e in transito? — Sì. Crittografia SSE-C (AES-256) a riposo con chiavi fornite dal cliente. Crittografia TLS per tutti i dati in transito. Le chiavi di crittografia non sono condivise con il fornitore dell'infrastruttura.
Gli interessati possono esercitare i propri diritti (accesso, cancellazione, portabilità)? — Sì. L'esportazione completa dei dati supporta la portabilità (Art. 20). L'eliminazione dei documenti con audit trail supporta la cancellazione (Art. 17). La ricerca full-text consente di individuare tutti i dati relativi a un individuo specifico per le richieste di accesso (Art. 15).
Le attività di trattamento sono registrate (Art. 30)? — Sì. I log delle attività registrano chi ha effettuato l'accesso, modificato o eliminato ogni documento, con timestamp. Questi log sono immutabili e fungono da base per i tuoi registri delle attività di trattamento.
L'elaborazione AI è conforme ai requisiti di protezione dei dati? — Sì. L'AI utilizza l'API Google Gemini Enterprise con un accordo di conservazione zero. I documenti vengono elaborati in memoria e immediatamente eliminati — mai memorizzati, memorizzati nella cache o utilizzati per l'addestramento dei modelli. Il sistema è inoltre progettato per la conformità all'AI Act dell'UE.
Sono disponibili policy automatizzate di conservazione ed eliminazione? — Non ancora. Veluvanto attualmente non offre programmi di conservazione automatizzati o regole di eliminazione basate sul tempo. È possibile eliminare manualmente i documenti e utilizzare la ricerca per identificare i record scaduti, ma l'applicazione automatizzata della limitazione della conservazione ex Art. 5(1)(e) è in fase di sviluppo, non ancora rilasciata.
Veluvanto è certificato ISO 27001 o SOC 2? — No. Veluvanto stessa non è certificata ISO 27001 o SOC 2. Il nostro fornitore di infrastruttura possiede la certificazione ISO 27001. Implementiamo misure di sicurezza coerenti con questi standard ma non siamo stati sottoposti a certificazione indipendente. Se la tua organizzazione richiede la certificazione del fornitore, questa è una lacuna.
Veluvanto fornisce un modello di accordo sul trattamento dei dati (DPA)? — Non come modello self-service. Un DPA che copre il trattamento dei tuoi dati da parte di Veluvanto è disponibile su richiesta. Al momento non forniamo un modello di DPA predefinito per i tuoi rapporti titolare-responsabile con terze parti.

Quando Veluvanto non è la scelta giusta per la conformità GDPR

Veluvanto è un sistema di gestione documentale per freelancer, famiglie e piccole imprese. Copre le basi tecniche per l'archiviazione e il recupero di documenti conformi al GDPR. Ma non è una piattaforma di conformità aziendale e ci sono scenari in cui non è sufficiente.

Tratti categorie particolari di dati su larga scala (Art. 9) — Se gestisci grandi volumi di cartelle cliniche, dati biometrici, dati genetici o dati che rivelano l'origine razziale o etnica, hai bisogno di un sistema con controlli di accesso di livello sanitario, infrastruttura di audit dedicata e probabilmente certificazioni specifiche del settore (es. ISO 27799 per l'informatica sanitaria). I controlli di accesso di Veluvanto sono a livello di workspace, non di singolo campo.
Hai bisogno di policy di conservazione automatizzate con blocco legale — Se il tuo programma di conformità richiede che i documenti vengano eliminati automaticamente dopo un periodo di conservazione definito — con eccezioni per il blocco legale durante i contenziosi — hai bisogno di un software di gestione dei record aziendali (es. OpenText, M-Files). Veluvanto non supporta ancora la conservazione automatizzata o la funzionalità di blocco legale.
I tuoi clienti o regolatori richiedono la certificazione ISO 27001 o SOC 2 — Alcuni settori e processi di approvvigionamento aziendale richiedono che i fornitori possiedano la certificazione ISO 27001 o SOC 2 Type II. Veluvanto non possiede queste certificazioni. Se questo è un requisito fondamentale nel tuo processo di selezione dei fornitori, Veluvanto non supererà il tuo questionario di sicurezza.

Essere onesti sui limiti fa parte della costruzione della fiducia. Se le tue esigenze superano ciò che Veluvanto offre, preferiamo dirtelo in anticipo piuttosto che fartelo scoprire dopo aver migrato i tuoi documenti. Per la maggior parte dei freelancer, delle famiglie e delle piccole imprese, Veluvanto fornisce una solida base conforme al GDPR. Per le imprese regolamentate con requisiti di conformità complessi, le piattaforme aziendali dedicate sono la scelta migliore.

Guide correlate

Archiviazione digitale dei documenti

Conservazione, audit trail e archiviazione a lungo termine — come l'archiviazione digitale supporta la conformità GDPR.

Software di gestione documentale

Cosa fa un software DMS, come sceglierne uno e perché l'AI cambia tutto nel 2026.

Direttiva NIS2 e gestione documentale

NIS2 e GDPR condividono una significativa sovrapposizione documentale — ecco cosa aggiunge la direttiva sulla cybersicurezza.

Domande frequenti

Dove sono memorizzati esattamente i miei dati?
Tutti i dati sono memorizzati in data center dell'UE gestiti da fornitori di infrastrutture con sede nell'UE. I backup sono conservati presso un fornitore UE separato. Nessun dato — documenti, metadati o input di elaborazione AI — lascia mai l'Unione Europea. Veluvanto è costituita nella Repubblica Ceca senza alcuna società madre o filiale statunitense.
L'elaborazione AI invia i miei dati fuori dall'UE?
No. L'elaborazione AI utilizza l'API Gemini Enterprise di Google nell'ambito di un accordo di trattamento dati a conservazione zero. I documenti vengono elaborati in memoria e immediatamente eliminati — mai memorizzati sui server di Google, mai memorizzati nella cache e mai utilizzati per l'addestramento dei modelli. L'elaborazione avviene all'interno dell'UE.
Posso esportare tutti i miei dati se decido di andarmene?
Sì. Veluvanto supporta l'esportazione completa dei dati ai sensi dell'Articolo 20 (diritto alla portabilità dei dati). Riceverai tutti i documenti originali nei loro formati originali più metadati strutturati (tag, date, entità estratte). Formati standard, nessun vincolo proprietario, nessuna necessità di contattare l'assistenza.
Veluvanto è certificato (ISO 27001, SOC 2)?
No. Veluvanto stessa non possiede la certificazione ISO 27001 o SOC 2. Il nostro fornitore di infrastruttura è certificato ISO 27001. Implementiamo misure di sicurezza allineate a questi standard — crittografia a riposo (SSE-C/AES-256), TLS in transito, RBAC, log di audit immutabili — ma non siamo stati sottoposti a certificazione indipendente. Se la certificazione del fornitore è un requisito di acquisto per la tua organizzazione, questa è una lacuna su cui siamo trasparenti.
Come si confronta Veluvanto con le alternative ospitate negli USA per il GDPR?
I servizi ospitati negli USA (Google Drive, Dropbox, Notion, Evernote) sono gestiti da società statunitensi soggette al CLOUD Act, che consente alle autorità USA di accedere ai dati indipendentemente dalla posizione del server. La sentenza Schrems II ha ritenuto questo incompatibile con i diritti fondamentali dell'UE. Veluvanto è una società ceca con dati esclusivamente nell'UE — si applica solo la legge dell'UE. Nessuna decisione di adeguatezza, nessuna misura supplementare, nessuna incertezza legale.
Cosa succede in caso di violazione dei dati?
Ai sensi dell'Articolo 33, i titolari devono notificare all'autorità di controllo entro 72 ore dal momento in cui vengono a conoscenza di una violazione dei dati personali. I log delle attività e i record di accesso di Veluvanto ti aiutano a valutare la portata di qualsiasi incidente — quali documenti sono stati interessati, chi ha avuto accesso e quando. In qualità di responsabile, Veluvanto ti informerà senza indebito ritardo se venissimo a conoscenza di una violazione che interessa i tuoi dati, fornendo le informazioni necessarie per soddisfare i tuoi obblighi di notifica.
Devo condurre una valutazione d'impatto sulla protezione dei dati (DPIA) per utilizzare Veluvanto?
Dipende dalla natura e dal volume dei dati personali che tratti. Ai sensi dell'Articolo 35, una DPIA è richiesta quando il trattamento "può presentare un rischio elevato" per i diritti delle persone — ad esempio, il monitoraggio sistematico o il trattamento su larga scala di dati sensibili. Per la maggior parte dei freelancer e delle piccole imprese che conservano fatture, contratti e corrispondenza commerciale, una DPIA non è richiesta. L'EDPB ha pubblicato un modello DPIA standardizzato (v1.0) nel marzo 2026, che semplifica il processo se ne avessi bisogno.
Veluvanto è conforme all'AI Act dell'UE?
Le funzionalità AI di Veluvanto — classificazione dei documenti, estrazione dei metadati e l'assistente AI — sono progettate tenendo conto della conformità all'AI Act dell'UE. Il sistema AI è trasparente (puoi vedere cosa ha estratto l'AI e modificarlo), non prende decisioni autonome con effetti legali e utilizza un'elaborazione a conservazione zero, quindi i tuoi documenti non vengono mai utilizzati per l'addestramento dei modelli. L'utilizzo dell'AI è registrato e verificabile.

Smetti di dare la caccia ai documenti. Inizia a trovarli.

Prova gratuita. Nessuna carta di credito richiesta. Passa a un piano superiore solo quando sei pronto.

Prova gratis — senza carta Vedi i prezzi

🔒 Cloud UE · Nessuna carta di credito · Garanzia di rimborso di 14 giorni