Conformità 28.03.2026 9 min di lettura

Desktop remoto conforme GDPR in Svizzera: guida pratica

Cosa il GDPR e la nLPD svizzera impongono agli strumenti di desktop remoto — localizzazione, sub-fornitura, audit trail. Checklist pratica.

Cosa richiedono GDPR e nLPD

Il GDPR europeo e la nuova Legge federale svizzera sulla protezione dei dati (nLPD, in vigore dal 2023) regolano il trattamento dei dati personali. Per la manutenzione remota sono rilevanti:

  1. Registro dei trattamenti (Art. 30 GDPR / Art. 12 nLPD): devi documentare chi ha avuto accesso a quali dati e quando.
  2. Accordo di sub-trattamento (Art. 28 GDPR / Art. 9 nLPD): se un fornitore IT esterno accede a dati personali (anche solo « vedere » basta), serve un accordo di sub-trattamento.
  3. Sicurezza dei dati (Art. 32 GDPR / Art. 8 nLPD): cifratura, controllo accessi, audit trail.
  4. Localizzazione dei dati: UE o paesi terzi riconosciuti (la Svizzera è riconosciuta).

Le insidie più frequenti

Fallback su un server cloud USA. Usi uno strumento P2P, ma con NAT simmetrico interviene un relay TURN — situato negli USA. Il flusso attraverso infrastruttura USA ricade sotto il CLOUD Act. Soluzione: scegliere uno strumento con relay svizzero/UE.

Nessun accordo di sub-trattamento con l’editore. Se conduci sessioni remote su dispositivi clienti come fornitore IT, sei sub-incaricato per i dati clienti. L’editore dello strumento è sub-sub-incaricato. Entrambi gli accordi devono esistere.

Nessun audit trail. In un audit GDPR devi poter dimostrare chi ha condotto quale sessione quando. Alcuni strumenti registrano solo « 47 sessioni questo mese » — è troppo poco. Richiesto: per sessione il nome del tecnico, dispositivo target, durata, trasferimenti file.

Registrazione di sessione senza consenso. Se registri le sessioni (es. per conformità), ti serve il consenso esplicito dell’utente finale al dispositivo host. Senza consenso: violazione.

I vantaggi svizzeri

Se sei un fornitore IT svizzero che sceglie un editore svizzero:

  • Niente CLOUD Act. Le GmbH svizzere senza casa madre USA non possono essere costrette a fornire dati alle autorità USA.
  • Assistenza giudiziaria più breve. Le controversie con un editore svizzero si risolvono davanti a un tribunale svizzero — niente complessità multi-giurisdizione.
  • IFPDT come punto di contatto. I reclami vanno all’Incaricato federale della protezione dei dati — pragmatico e specializzato in diritto svizzero.

Checklist pratica

Prima di usare uno strumento remoto per clienti regolati:

  1. Localizzazione documentata? Server in Svizzera o UE.
  2. Accordo di sub-trattamento? DPA standard dell’editore letto + archiviato.
  3. Cifratura E2E? AES-256 o equivalente, documentato.
  4. Audit trail attivato? Per sessione: chi/quando/cosa, esportabile in CSV.
  5. Ruoli + permessi? Non ogni tecnico su tutto. Principio del minimo privilegio.
  6. Consenso per registrazione? Se le sessioni sono registrate.
  7. Editore senza dipendenza CLOUD Act? Per dati sensibili (sanità, finanza, avvocato) chiaramente rilevante.
  8. Configurazione tracking esplicita? Niente « tutto va al marketing del fornitore in anonimo ».

Dove sta WinDesk

WinDesk è stato pensato esplicitamente per il contesto di conformità svizzero:

  • Server in Svizzera e UE, niente passaggio cloud USA
  • Lightnet Multimedia GmbH è una GmbH svizzera senza casa madre USA — niente CLOUD Act
  • AES-256-GCM E2E per sessione, chiave effimera
  • Audit trail di default, export CSV, filtro per utente/periodo/dispositivo
  • DPA standard disponibile nel portale
  • Ruoli: Admin / Supporter / Sola lettura
  • Registrazione sessione opzionale arriva nel 2026 con workflow di consenso

Pagina sicurezza con prove dettagliate. Per domande DPA: info@windesk.ch.

Provare WinDesk in 30 secondi

Piano Free senza account, senza carta di credito. Cross-platform Windows + Mac + Linux + Pi.

Scarica ora Altri articoli