Insights · 2026-06-01

Claude è conforme al GDPR? Adottare Anthropic nell'UE, in Germania e in Svizzera

Claude è conforme al GDPR? Dipende soprattutto da una scelta. Una guida pratica per adottare Claude di Anthropic secondo il diritto europeo, tedesco e svizzero.

Di James F. Murray

Ogni dirigente pone la stessa domanda prima di affidare dati reali dei clienti a Claude: «Ci metterà in conflitto con il GDPR?» È la domanda giusta.

La conformità al GDPR non è un singolo interruttore dentro Claude. È una breve serie di decisioni da prendere prima dell’adozione. Le prende bene e Claude si inserisce senza fatica nel diritto europeo.

Questa guida percorre quella serie. Poi mostra dove l’UE, la Germania e la Svizzera divergono. Perché divergono.

Una precisazione sull’ambito. Questa è una guida pratica, non un parere legale. Confermi i dettagli con il Suo responsabile della protezione dei dati o il Suo legale. La aiutiamo a porre le domande giuste e a progettare l’adozione — non sostituiamo il Suo avvocato.

La decisione che risolve quasi tutto: quale Claude usa

È qui che nasce gran parte della confusione. Anthropic gestisce due mondi molto diversi.

Piani consumer — Claude Free, Pro e Max. Da settembre 2025 si addestrano sulle Sue conversazioni per impostazione predefinita, salvo che l’utente lo disattivi nelle impostazioni. Perfetti per uso personale. Sbagliati per i dati dei clienti.

Prodotti commerciali — Claude for Work (Team ed Enterprise) e l’API Anthropic. Qui Anthropic non addestra i suoi modelli sui Suoi dati per impostazione predefinita. È la via per qualsiasi adozione aziendale seria.

Quindi l’«impostazione» di cui il Suo team avrà sentito parlare è in realtà una scelta di livello. Metta le persone su un piano commerciale e l’impostazione predefinita gioca a Suo favore. Le lasci su un login Pro personale ed eredita le condizioni consumer. Quasi tutti gli incidenti di compliance che vediamo sono semplicemente la porta sbagliata.

Una volta su un livello commerciale, quattro elementi completano il quadro.

1. Un addendum sul trattamento dei dati (DPA) firmato. Secondo il GDPR, Lei è il titolare del trattamento e Anthropic il Suo responsabile. Il DPA di Anthropic è integrato nelle sue Condizioni commerciali e include le clausole contrattuali tipo (CCT), con moduli specifici per l’UE, il Regno Unito e la Svizzera. È il contratto che rende lecito il rapporto.

2. Una scelta sulla conservazione. Per impostazione predefinita, Anthropic cancella gli input e gli output dell’API entro 30 giorni. Per esigenze più stringenti, un accordo Zero Data Retention elimina del tutto questa archiviazione — nulla resta a riposo dopo la risposta. Vale la pena richiederlo quando i dati sono sensibili.

3. La Sua documentazione. Una valutazione d’impatto sulla protezione dei dati per gli usi a rischio più elevato. Un registro dei trattamenti aggiornato. Regole interne su ciò che il personale può e non può incollare. Questa parte spetta a Lei, non al fornitore.

4. Trasparenza onesta. Dica alle persone quando l’IA tocca i loro dati. Mantenga un essere umano nel processo per le decisioni che le riguardano.

È la stessa disciplina che già applica a qualsiasi responsabile cloud — applicata deliberatamente a Claude.

Dove risiedono i Suoi dati: la questione della residenza

Ecco una sfumatura che coglie i team alla sprovvista. Le certificazioni pubblicate da Anthropic coprono ISO 27001, ISO/IEC 42001, SOC 2 (Tipo I e II) e la conformità HIPAA. Non includono il Data Privacy Framework UE–USA. I trasferimenti transfrontalieri poggiano quindi sulle clausole contrattuali tipo (CCT) del DPA, non su un’autocertificazione al framework.

Inoltre, l’API diretta di Anthropic elabora in regioni «US» o «global». Oggi non esiste un’opzione solo UE. Se la Sua policy impone che i dati restino nell’UE, instradi Claude attraverso AWS Bedrock o Google Cloud Vertex AI nelle loro regioni europee. Stesso modello, confine di trattamento europeo.

È esattamente il tipo di impianto che il nostro livello di routing IA conforme è costruito per gestire — inviare ogni richiesta nel posto giusto, con una traccia di audit alle spalle.

Tre mercati, tre insiemi di regole

I meccanismi di trasferimento sono in gran parte condivisi. Le aspettative locali no.

Unione europea — la base

Il GDPR fissa il livello minimo: una base giuridica, il DPA e le CCT, una DPIA per i trattamenti a rischio e la trasparenza sulle decisioni automatizzate. Superato questo, ha superato gran parte dell’Europa.

Germania — la stanza più severa in cui entrerà

La Germania sovrappone il BDSG e la legge sull’organizzazione aziendale al GDPR. Ne discendono due conseguenze pratiche.

Primo, il consiglio aziendale (Betriebsrat) può bloccare qualsiasi strumento che monitora il modo in cui i dipendenti lavorano — e un assistente IA può rientrarvi. Lo coinvolga presto. In Germania, l’adozione di un’IA è una questione di cogestione, non solo di IT.

Secondo, le autorità tedesche di protezione dei dati (la DSK) hanno pubblicato linee guida concrete sull’IA nel 2024. Il loro consiglio per gli LLM sul posto di lavoro è preciso: disattivare la memorizzazione della cronologia dei dialoghi, rinunciare all’addestramento, mantenere un essere umano sulla decisione finale, verificare correttezza e distorsioni degli output e non incollare mai dati personali dove il fornitore li tratterebbe per fini propri. Un livello commerciale di Claude, ben configurato, soddisfa tutto questo — ma la configurazione deve essere deliberata.

La nuova legge federale sulla protezione dei dati (nLPD) si applica dal 1° settembre 2023, sotto la vigilanza dell’IFPDT. Segue il GDPR da vicino: DPIA, trasparenza sulle decisioni automatizzate e forti esigenze di sicurezza.

Contano due specificità svizzere. I trasferimenti verso gli USA sono puliti solo per i destinatari certificati ai sensi del Data Privacy Framework Svizzera–USA (gli USA sono entrati nella lista di adeguatezza svizzera il 14 agosto 2024). Per tutti gli altri — Anthropic inclusa — le CCT restano la garanzia, fornita dal modulo svizzero del DPA. E l’applicazione ha un taglio inusuale: la nLPD può multare le persone fisiche responsabili fino a CHF 250’000, non solo l’azienda. Per banche e assicuratori, le regole di esternalizzazione della FINMA e il segreto bancario alzano ancora l’asticella.

Un’alternativa sovrana svizzera da tenere d’occhio: Infomaniak

Per le organizzazioni svizzere in cui la sovranità dei dati è la linea invalicabile, esiste un’opzione locale. Infomaniak, il fornitore cloud ginevrino, offre ora un’IA costruita su modelli open source, elaborata e archiviata interamente in Svizzera, senza trasferimento all’estero né addestramento sui Suoi dati. È conforme al GDPR e alla nLPD, e il data center riscalda persino abitazioni ginevrine con la sua energia di scarto. Per una PMI svizzera che semplicemente non può far varcare un confine ai propri dati, è una risposta davvero interessante.

C’è un compromesso, ed è onesto. Infomaniak usa modelli a pesi aperti, non Claude. Quindi l’ecosistema di strumenti di sviluppo agentico su cui molti team oggi fanno affidamento, con Claude Code come esempio evidente, non vi si integra ancora in modo pulito. La capacità è sovrana; l’impalcatura attorno è molto meno matura. Tratteremo questo compromesso fra sovranità e capacità in un prossimo articolo.

Come Headswap affronta un’adozione conforme

Cominciamo ascoltando, non installando. Una breve discovery ci dice quali dati i Suoi team vogliono davvero affidare a Claude, e quanto sono sensibili. Da lì, la via è pragmatica:

Mettere tutti sul livello commerciale giusto — niente login personali per il lavoro con i clienti.
Firmare il DPA; attivare lo Zero Data Retention dove i dati lo richiedono.
Instradare i dati destinati all’UE o alla Svizzera verso la regione giusta, con registrazione.
Consegnare al Suo responsabile della protezione dei dati una DPIA pulita e una chiara policy d’uso da approvare.
In Germania, coinvolgere il consiglio aziendale fin dal primo giorno.

Soluzioni pragmatiche che portano valore reale — e, altrettanto importante, che il Suo team di compliance può difendere.

Domande frequenti

Claude è conforme al GDPR?

Claude si può usare in modo conforme al GDPR su un livello commerciale (Claude for Work o l’API) con un DPA firmato. I piani consumer sono un’altra storia — si addestrano sui dati per impostazione predefinita, salvo modifica.

Anthropic si addestra sui miei dati?

Non sui prodotti commerciali (Work, Enterprise, API) per impostazione predefinita. I piani consumer Free, Pro e Max lo fanno, da settembre 2025, salvo che l’utente vi rinunci.

Posso tenere i dati di Claude nell’UE o in Svizzera?

L’API diretta elabora solo in regioni US o globali. Per un confine di trattamento nell’UE, faccia passare Claude attraverso AWS Bedrock o Google Vertex AI nelle regioni europee. Per una residenza pienamente svizzera, un fornitore sovrano come Infomaniak è la scelta più adatta.

Mi serve un DPA con Anthropic?

Sì. È integrato nelle Condizioni commerciali di Anthropic e include le clausole contrattuali tipo per l’UE, il Regno Unito e la Svizzera.

Claude è conforme alla nLPD per la Svizzera?

Può esserlo, sulla stessa base del GDPR — un livello commerciale, il DPA con il modulo CCT svizzero e una DPIA dove necessario. Le società finanziarie devono inoltre valutare gli obblighi della FINMA e del segreto bancario.

Il nostro consiglio aziendale deve approvare Claude in Germania?

Molto probabilmente. I consigli aziendali tedeschi hanno diritti di cogestione sugli strumenti capaci di monitorare il personale. Li coinvolga prima dell’adozione, non dopo.

Porti il Suo workflow

Cosa dovrebbe essere vero perché il Suo team affidi dati reali dei clienti a Claude? È la domanda da risolvere prima del primo prompt. Se lo desidera, mappiamo i Suoi dati, il Suo mercato e i Suoi obblighi in un piano di adozione che il Suo responsabile della protezione dei dati può firmare — inizi con la nostra raccolta dei casi d’uso IA.