Dettatura vocale e GDPR: dove finiscono i tuoi dati?

Q: Avere server in Europa basta per essere fuori dalla portata delle autorità statunitensi?

No. Il Cloud Act statunitense consente di obbligare un fornitore soggetto al diritto statunitense a comunicare i dati che controlla, ovunque siano archiviati, compreso un data center situato nell'Unione europea. Ciò che conta non è quindi solo dove si trovano i server, ma a quale giurisdizione è soggetta la società che li gestisce.

Q: Dove tratta i miei dati Fast Dictate?

Zero conservazione dei dati su tutte le offerte: il tuo audio viene trascritto e subito eliminato, e non viene mai riutilizzato per addestrare modelli. Il piano Pro tratta i tuoi dati esclusivamente in Francia, su server certificati ISO 27001, fuori dal campo del Cloud Act statunitense, con un DPA GDPR avanzato. I piani Free e Standard funzionano su un'infrastruttura internazionale veloce.

Quando detti una email, un verbale o una memoria legale, pronunci ad alta voce informazioni spesso riservate: nomi, importi, elementi di una pratica. La domanda non è soltanto «la trascrizione è buona?», ma «dove finisce la mia voce, e chi può accedervi?». È esattamente ciò che il GDPR disciplina. Questa guida spiega cosa il regolamento esige davvero da uno strumento di dettatura vocale, perché la localizzazione dei server non basta e come riconoscere una soluzione conforme e sovrana.

La tua voce è un dato personale

Primo punto, spesso frainteso: una registrazione vocale è un dato personale ai sensi del GDPR nella misura in cui consente, direttamente o indirettamente, di identificare una persona. La voce stessa, un nome pronunciato, un numero di cliente citato a voce: tutto questo rientra nel regolamento. Il GDPR si applica quindi alla dettatura vocale dal momento in cui una persona parla.

Bisogna concluderne che si tratta di dati «sensibili»? Non automaticamente, e la distinzione è importante. Secondo la CNIL, l'autorità francese per la protezione dei dati, la voce diventa un dato biometrico (categoria sensibile, disciplinata dall'articolo 9 del GDPR) solo quando un sistema la usa per riconoscere o autenticare un parlante in base alle sue caratteristiche vocali. Uno strumento di dettatura non fa questo: trasforma il parlato in testo, non identifica nessuno tramite la sua voce. La conseguenza pratica:

L'audio è un dato personale, ma non un dato biometrico, perché non c'è identificazione vocale.
Il contenuto dettato, invece, può essere tutt'altro che banale: una cartella clinica menzionata, dati bancari, il nome di un cliente e la natura della sua controversia. È qui che si concentra il vero rischio.

In altre parole, il pericolo non è che il timbro della tua voce serva a identificarti; è che ciò che detti finisca archiviato, riutilizzato o accessibile a terzi. Da qui l'importanza di sapere con precisione cosa lo strumento fa del tuo audio.

Cosa esige concretamente il GDPR da uno strumento di dettatura vocale

Il GDPR non si riduce a un banner di consenso. Per un servizio che trascrive la tua voce, contano davvero sei obblighi:

Una finalità e una base giuridica chiare. I tuoi dati servono solo a produrre la tua trascrizione, non ad altro.
La minimizzazione. Lo strumento deve trattare solo lo stretto necessario. La CNIL, nel suo libro bianco sugli assistenti vocali, raccomanda persino di trasferire ai server solo i dati indispensabili.
La limitazione della conservazione. Il GDPR vieta di conservare i dati più a lungo del necessario. Per la dettatura, l'opzione migliore è semplice: zero conservazione, l'audio viene eliminato non appena trascritto.
Il non riutilizzo. La tua voce e i tuoi testi non devono servire ad addestrare modelli di IA senza il tuo consenso.
Un responsabile del trattamento regolato. Il fornitore deve proporti un accordo sul trattamento dei dati (DPA, articolo 28 del GDPR) che elenca i suoi sub-responsabili e le loro garanzie.
La sicurezza e la disciplina dei trasferimenti. Cifratura, misure tecniche serie e soprattutto un quadro rigoroso se i dati escono dall'Unione europea (articoli 44 e seguenti).

Questi criteri sono verificabili. Un fornitore serio risponde a ciascuno per iscritto. È proprio l'ultimo punto, i trasferimenti fuori dall'UE, quello che più spesso viene a mancare, ed è il più frainteso.

Il vero tema non è il server, è la giurisdizione

La maggior parte degli strumenti di dettatura vocale di largo consumo è realizzata da società statunitensi, e il tuo audio transita su server soggetti al diritto statunitense. Molte mettono in evidenza data center situati in Europa per rassicurare. Non basta, ed ecco perché.

Il Cloud Act, legge statunitense del 2018, consente alle autorità degli Stati Uniti di obbligare un fornitore soggetto al diritto statunitense a comunicare i dati che controlla, ovunque siano archiviati, compreso un data center situato nell'Unione europea. Finché una società è statunitense o controllata da una capogruppo statunitense, resta nel campo del Cloud Act. La localizzazione dei server non cambia nulla: ciò che conta è la nazionalità giuridica dell'azienda che li gestisce.

Non è un'ipotesi astratta. A giugno 2025, durante un'audizione davanti al Senato francese, il direttore giuridico di Microsoft Francia ha riconosciuto, sotto giuramento, di non poter garantire che i dati di cittadini francesi ospitati dall'azienda non sarebbero mai stati trasmessi alle autorità statunitensi senza l'accordo della Francia. Un attore di primo piano, con data center in Europa, ammette esso stesso il limite. Per le professioni vincolate al segreto, è un segnale che non si discute.

Da ricordare

«Dati ospitati in Europa» e «dati fuori dalla portata delle autorità straniere» non sono sinonimi. Uno strumento può ospitare i dati in Europa e restare comunque soggetto al Cloud Act se il suo fornitore dipende dal diritto statunitense.

E il Data Privacy Framework, allora?

Per trasferire legalmente dati personali verso gli Stati Uniti, gli strumenti statunitensi si appoggiano in genere al Data Privacy Framework (DPF), una decisione di adeguatezza adottata dalla Commissione europea il 10 luglio 2023. Un'azienda statunitense si autocertifica e può quindi ricevere dati dall'UE senza formalità aggiuntive. Sulla carta, il trasferimento è dunque legale.

Due riserve, tuttavia, che ogni professionista dovrebbe conoscere:

Questo quadro è giuridicamente fragile. È il terzo del suo genere. I due precedenti, il Safe Harbor e poi il Privacy Shield, sono stati annullati dalla Corte di giustizia dell'Unione europea (sentenze Schrems I nel 2015 e Schrems II nel 2020), con la motivazione che la sorveglianza statunitense non proteggeva a sufficienza gli europei. Il DPF è sopravvissuto a un primo ricorso (respinto dal Tribunale dell'UE a settembre 2025), ma quella decisione è oggetto di appello davanti alla CGUE da fine ottobre 2025. Costruire la propria riservatezza su un quadro già invalidato due volte è una scommessa.
Il DPF non neutralizza il Cloud Act. Sono due temi distinti: il DPF rende legale il trasferimento commerciale; il Cloud Act riguarda l'accesso delle autorità statunitensi. Uno strumento può essere perfettamente certificato DPF e restare comunque assoggettabile a un'ingiunzione statunitense. La conformità del trasferimento non ti protegge dall'accesso.

L'unico modo per escludere questo rischio non è disciplinare meglio il trasferimento verso gli Stati Uniti: è non dipendere affatto dal diritto statunitense.

Professioni soggette al segreto: avvocati, notai, commercialisti

Per un avvocato, un notaio o un commercialista, al GDPR si aggiunge un obbligo ancora più stringente: il segreto professionale. Dettare il nome di un cliente e la natura della sua pratica in uno strumento che potrebbe essere costretto a comunicare quei dati significa esporre un'informazione coperta dal segreto.

Il principio guida è semplice e vale ovunque in Europa: un professionista non può scaricare il proprio obbligo di riservatezza su un fornitore qualsiasi. L'uso di strumenti di IA non può mai giustificare una violazione del segreto professionale, e non si dovrebbero mai affidare a un'IA generativa di largo consumo dati che ne sono coperti. Le soluzioni ospitate nell'Unione europea, che non riutilizzano le richieste per addestrare i propri modelli, presentano un profilo di rischio nettamente inferiore rispetto agli strumenti di largo consumo. In Francia, ad esempio, il Conseil national des barreaux lo ha ricordato nella sua guida deontologica sull'intelligenza artificiale.

È esattamente il criterio da applicare a uno strumento di dettatura: trattamento nell'UE, zero conservazione, nessun riutilizzo e un fornitore non soggetto a una legislazione extraterritoriale. Approfondiamo questo punto per gli studi professionali nella nostra pagina dedicata alla dettatura vocale e il segreto professionale dell'avvocato.

5 domande da porre prima di scegliere uno strumento di dettatura vocale

Un modo semplice per decidere: poni queste cinque domande a qualunque fornitore. Le risposte devono essere chiare e per iscritto.

Conservate il mio audio e le mie trascrizioni? La risposta giusta è: no, eliminazione immediata dopo la trascrizione.
I miei dati servono ad addestrare i vostri modelli? La risposta giusta è: no.
Dove vengono trattati i miei dati, e da quale società? Cerca un trattamento nell'UE da parte di una società europea, non solo un «data center in Europa».
Siete soggetti al Cloud Act o a un'altra legge extraterritoriale? Un fornitore europeo non detenuto da una capogruppo statunitense può rispondere di no.
Proponete un DPA conforme all'articolo 28 del GDPR? Indispensabile per un uso professionale.

L'opzione più rigorosa: il 100% locale

Siamo onesti: se vuoi la garanzia assoluta che la tua voce non lasci mai il tuo computer, la soluzione più protettiva non è il cloud, è il trattamento 100% locale. Nulla va online: né il GDPR né il Cloud Act entrano nemmeno in gioco, perché nessun dato viene trasmesso a terzi. Strumenti open source come Handy (gratuito, con licenza libera, per Windows, macOS e Linux) eseguono la trascrizione direttamente sulla tua macchina, senza alcun invio a un server.

Il rovescio della medaglia è reale, e lo approfondiamo nel nostro confronto dettatura vocale in locale vs cloud: il 100% locale si limita il più delle volte a una trascrizione grezza, senza la pulizia né la formattazione con l'IA, e richiede una macchina abbastanza potente. Per molti professionisti la sfida è quindi ritrovare la comodità del cloud, un testo pulito, in qualsiasi applicazione e su qualsiasi computer, senza rinunciare alla sovranità. È esattamente ciò a cui punta Fast Dictate.

L'approccio di Fast Dictate

Fast Dictate è un'alternativa europea pensata per rispondere a queste domande senza giri di parole:

Zero conservazione dei dati su tutte le offerte. Il tuo audio viene trascritto e subito eliminato, e non viene mai riutilizzato per addestrare modelli.
Piano Pro: trattamento esclusivamente in Francia, su server certificati ISO/IEC 27001, fuori dal campo del Cloud Act statunitense, con un DPA GDPR avanzato. Pensato per avvocati, notai e chiunque tratti pratiche riservate.
Piani Free e Standard: un'infrastruttura internazionale veloce, sempre senza conservazione dei dati.
Funziona ovunque: Word, Gmail, Notion, il tuo browser, qualsiasi campo di testo, con una sola scorciatoia su Windows e Mac.
Offerta gratuita: 2.000 parole a settimana, senza carta di credito.

La riservatezza non dovrebbe essere un'opzione a pagamento spiegata male.

Su tutte le offerte, nulla viene conservato. E quando il lavoro è riservato, il piano Pro tiene i tuoi dati in Francia, sotto il solo diritto europeo. Mantieni la rapidità del cloud senza rinunciare alla sovranità. Vedi i dettagli nella nostra pagina Sicurezza.

Domande frequenti

La dettatura vocale è conforme al GDPR?

Può esserlo. Una registrazione vocale è un dato personale, quindi il GDPR si applica. Uno strumento conforme si basa su una finalità chiara, sulla minimizzazione, su una conservazione limitata (idealmente zero conservazione), su un responsabile del trattamento regolato da un DPA, su misure di sicurezza e su un quadro rigoroso per i trasferimenti fuori dall'UE. La conformità dipende dal fornitore, non dalla tecnologia in sé.

La voce è un dato sensibile ai sensi del GDPR?

Una registrazione vocale è sempre un dato personale. Diventa sensibile (biometrica) solo quando viene usata per riconoscere o autenticare una persona in base alla sua voce. Uno strumento di dettatura si limita a trascrivere: non effettua alcuna identificazione biometrica. Il contenuto dettato, invece, può essere altamente riservato.

Avere server in Europa basta per essere fuori dalla portata delle autorità statunitensi?

No. Il Cloud Act consente di obbligare un fornitore soggetto al diritto statunitense a comunicare i dati che controlla, ovunque siano archiviati, compreso un data center nell'UE. Ciò che conta non è solo dove si trovano i server, ma a quale giurisdizione è soggetta la società che li gestisce.

Dove tratta i miei dati Fast Dictate?

Zero conservazione su tutte le offerte: l'audio viene trascritto e subito eliminato, mai riutilizzato per l'addestramento. Il piano Pro tratta i tuoi dati esclusivamente in Francia, su server ISO 27001, fuori dal campo del Cloud Act, con un DPA GDPR avanzato. I piani Free e Standard funzionano su un'infrastruttura internazionale veloce.