Skip to content
Davide Turatti10-mar-2026 17.11.308 min read

HubSpot e GDPR: cosa cambia se il tuo CRM è fuori dall'Europa

HubSpot e GDPR: cosa cambia se il tuo CRM è fuori dall'Europa
14:44

HubSpot e GDPR: cosa cambia se il tuo CRM è fuori dall'Europa

Molte aziende italiane usano HubSpot senza sapere dove risiedono fisicamente i propri dati. La risposta, per chi ha attivato HubSpot prima del 2022 senza scegliere esplicitamente una regione, è quasi sempre: negli Stati Uniti. E questo ha implicazioni concrete legali, operative e reputazionali, che nella maggior parte delle implementazioni non vengono mai discusse fino al momento in cui arriva una richiesta del Garante, un audit interno, o un cliente enterprise che chiede garanzie esplicite sulla localizzazione dei dati.

Questo articolo chiarisce cosa dice realmente la normativa sul trasferimento di dati personali verso gli USA, quando e perché conviene migrare HubSpot verso i datacenter europei, e come gestire correttamente le basi giuridiche per i diversi tipi di comunicazione che passano dal CRM: marketing, vendita, assistenza, comunicazioni contrattuali. Non è un articolo per giuristi: è un articolo per manager che devono prendere decisioni informate su un aspetto che ha conseguenze sia sulla compliance sia sull'operatività quotidiana del team commerciale e marketing.

Il problema: dove vivono i dati del tuo CRM e perché conta

Il GDPR vieta il trasferimento di dati personali verso paesi terzi, cioè fuori dallo Spazio Economico Europeo, a meno che non esistano garanzie adeguate di protezione. Gli Stati Uniti non sono un paese SEE, quindi qualsiasi dato personale che risiede su server americani è soggetto a questa regola. I dati che passano per HubSpot con datacenter US sono dati personali nel senso pieno del termine: nomi, email, numeri di telefono, dati comportamentali, cronologia delle interazioni commerciali. Se la tua azienda è italiana e i tuoi contatti sono persone fisiche residenti nell'UE, il GDPR si applica pienamente.

Il punto non è che HubSpot US sia illegale per definizione. Il punto è che comporta un rischio di compliance che molte aziende non hanno valutato consapevolmente, e che richiede una gestione attiva, non si può ignorare e sperare che non emerga. Le conseguenze di un trasferimento non adeguatamente giustificato non sono teoriche: il Garante italiano ha già emesso provvedimenti su strumenti analitici e CRM che trasferivano dati negli USA senza le garanzie previste (si vedano i provvedimenti del 2022-2023 su Google Analytics come riferimento metodologico).

Detto questo, esistono tre ragioni per cui un'azienda potrebbe legittimamente scegliere di restare su HubSpot US anche dopo aver valutato le opzioni: il costo e la complessità della migrazione, la presenza di integrazioni con altri sistemi US-based che rendono la co-localizzazione europea più complessa, o la valutazione che il rischio sia gestibile attraverso il Data Privacy Framework e le clausole contrattuali standard. Queste sono scelte legittime, purché consapevoli e documentate.

Per le aziende che gestiscono dati di dipendenti, dati sanitari, o operano in settori regolamentati (finanza, sanità, pubblica amministrazione), la soglia di attenzione deve essere più alta: in questi contesti la localizzazione europea non è una scelta strategica ma un requisito di fatto. Per un approfondimento su come proteggere i dati CRM anche rispetto alle minacce interne, vedi proteggere CRM e dati con un agent firewall per l'AI.

Privacy Framework EU-USA, consenso e basi giuridiche: cosa dice la legge

Il Data Privacy Framework EU-USA è il meccanismo di trasferimento adottato dalla Commissione Europea nel luglio 2023 che consente alle aziende americane certificate di ricevere dati personali dall'UE. HubSpot è certificata nell'ambito di questo framework. Questo significa che, allo stato attuale, trasferire dati a HubSpot US con le garanzie contrattuali standard è legalmente fondato. Il rischio residuo, che ha già materializzato nel 2015 con Safe Harbour e nel 2020 con Privacy Shield,  è che il framework venga nuovamente invalidato dalla Corte di Giustizia UE per via della normativa di sorveglianza americana. È un rischio di lungo periodo, ma reale.

Su questa base, la scelta tra HubSpot EU e HubSpot US ha una componente di gestione del rischio, non solo di compliance immediata. Chi preferisce eliminare il rischio alla radice,  o chi ha clienti o partner che lo richiedono contrattualmente, opta per HubSpot EU (datacenter a Francoforte). Chi accetta il rischio residuo e lo gestisce attraverso la documentazione del framework resta su HubSpot US. Non esiste la risposta universalmente corretta: esiste quella giusta per il profilo di rischio della tua organizzazione.

Un punto su cui invece la legge è molto chiara, e dove le aziende commettono più errori, è la distinzione tra basi giuridiche per i diversi tipi di comunicazione che passano dal CRM. Esistono sei basi giuridiche previste dal GDPR per il trattamento di dati personali, ma in ambito CRM le tre rilevanti sono: il consenso esplicito (opt-in documentato, specifico e revocabile), il legittimo interesse (interesse dell'azienda che non prevale sui diritti dell'interessato, con bilanciamento documentato), e l'esecuzione del contratto (comunicazioni necessarie per adempiere a un contratto in essere).

La confusione nasce perché HubSpot gestisce internamente i "subscription type" Marketing, Sales, Service, come preferenze tecniche di comunicazione. Questi non equivalgono al consenso GDPR. Un contatto può avere il subscription type "Marketing" attivo in HubSpot senza che l'azienda abbia una base giuridica valida per inviare comunicazioni promozionali. Le due cose vanno gestite separatamente: le preferenze di opt-in/opt-out come funzionalità del CRM, e la base giuridica come elemento della documentazione GDPR (registro dei trattamenti, informativa). Per capire come HubSpot si posiziona nel contesto di una valutazione CRM più ampia, vedi HubSpot CRM: cos'è, quanto costa e quando serve davvero.

In pratica: le email relative a un contratto in essere (conferme d'ordine, aggiornamenti di servizio, fatture) non richiedono consenso marketing, la base giuridica è l'esecuzione del contratto. Le email promozionali su nuovi prodotti o cross-selling a clienti esistenti richiedono una base giuridica distinta: legittimo interesse (con bilanciamento documentato e interesse test) o consenso esplicito. Le email a prospect che non hanno avuto nessun rapporto commerciale con l'azienda richiedono quasi sempre il consenso, salvo nei casi in cui il legittimo interesse sia molto ben argomentato e documentato.

Quando e come migrare HubSpot verso i datacenter europei

La migrazione da HubSpot US a HubSpot EU è un processo supportato da HubSpot e tecnicamente fattibile senza perdita di dati. Non è un'operazione che si fa in autonomia: richiede una richiesta formale al team HubSpot, una finestra di migrazione concordata, e una verifica post-migrazione delle integrazioni. I tempi tipici sono 2-6 settimane dalla richiesta alla migrazione completata, con il sistema accessibile durante tutto il processo.

I casi in cui la migrazione è consigliabile sono quattro. Primo: l'azienda opera in settori regolamentati o ha clienti enterprise che richiedono contrattualmente la localizzazione europea dei dati. Secondo: l'azienda ha ricevuto osservazioni dal proprio DPO o da un audit esterno sulla gestione dei trasferimenti verso gli USA. Terzo: si sta avviando una nuova implementazione HubSpot da zero, in quel caso si parte direttamente su EU senza costi di migrazione. Quarto: l'azienda vuole eliminare il rischio legato a possibili invalidamenti futuri del Data Privacy Framework.

I casi in cui la migrazione può essere rinviata o non è prioritaria: l'azienda tratta solo dati B2B di persone giuridiche (le persone fisiche in ambito B2B puro sono comunque coperte dal GDPR, ma il profilo di rischio è diverso), oppure ha già una documentazione solida del framework e clausole contrattuali standard aggiornate con HubSpot, oppure le integrazioni con sistemi US-based rendono la co-localizzazione europea complessa e costosa in modo sproporzionato rispetto al beneficio.

Cosa fare prima di migrare: verificare tutte le integrazioni attive (ERP, e-commerce, strumenti marketing) e capire se supportano endpoint EU; aggiornare il registro dei trattamenti con la nuova localizzazione; verificare che le informative privacy sul sito citino correttamente il datacenter europeo come luogo di trattamento. Cosa fare dopo: testare tutte le integrazioni, verificare che i webhook e le API chiamino gli endpoint EU1 e non quelli US, aggiornare la documentazione contrattuale con fornitori e partner. Per chi sta valutando un cambiamento di CRM in questo contesto, la guida alla migrazione da Salesforce a HubSpot offre un framework metodologico trasferibile.

Un elemento spesso trascurato: anche con HubSpot EU, le integrazioni con strumenti terzi possono reintrodurre trasferimenti verso gli USA. Se HubSpot EU è integrato con Salesforce US, con un ERP americano, o con piattaforme email marketing con datacenter US, i dati escono comunque dallo SEE attraverso quelle integrazioni. La localizzazione del CRM è necessaria ma non sufficiente: la compliance GDPR richiede una mappatura di tutti i flussi di dati, non solo del CRM principale.

FAQ — HubSpot GDPR: le domande più frequenti

HubSpot con datacenter US è illegale per le aziende italiane? No, non è automaticamente illegale. Il trasferimento è lecito nel rispetto del Data Privacy Framework EU-USA (luglio 2023) e HubSpot è certificata. Il rischio è che il framework venga nuovamente invalidato dalla Corte di Giustizia UE, come già avvenuto con Privacy Shield nel 2020.

Come faccio a sapere se il mio HubSpot è su datacenter EU o US? Controlla l'URL di accesso: app-eu1.hubspot.com significa datacenter europeo (Francoforte), app.hubspot.com significa datacenter US. Puoi verificarlo anche in Impostazioni > Account > Informazioni account.

Si può migrare HubSpot da datacenter US a EU senza perdere dati? Sì, HubSpot supporta la migrazione tra regioni. È un processo concordato con il team HubSpot, richiede 2-6 settimane e non comporta perdita di dati. Alcune integrazioni potrebbero richiedere aggiornamenti degli endpoint.

Per inviare email commerciali a un cliente esistente serve il consenso? Dipende dal tipo di comunicazione. Le email legate a un contratto in essere non richiedono consenso marketing. Le email promozionali su nuovi prodotti richiedono una base giuridica valida: legittimo interesse documentato o consenso esplicito.

Cosa sono i subscription type di HubSpot e come si collegano al GDPR? I subscription type HubSpot sono preferenze tecniche di comunicazione, non equivalgono al consenso GDPR. Vanno gestiti separatamente: le preferenze di opt-in/opt-out nel CRM e la base giuridica documentata nel registro dei trattamenti.
avatar
Davide Turatti
Sono fondatore e CEO di Turatti Consulting, società di consulenza digitale specializzata in CRM, AI agent e automazioni per PMI manifatturiere e aziende B2B italiane. HubSpot Platinum Partner, lavoro con aziende tra €10M e €200M di fatturato per trasformare processi commerciali e customer service in sistemi misurabili e scalabili. Ho maturato esperienza come digital manager e direttore marketing in contesti strutturati prima di fondare Turatti. Applico lo stesso approccio pragmatico, nessuna teoria senza esecuzione, sia ai progetti dei clienti che alla gestione della mia azienda. Scrivo di AI applicata al business, CRM, automazione e visibilità digitale nell'era degli AI engine.
COMMENTI

ARTICOLI CORRELATI