Risposta breve: Il GDPR è rilevante per il PCB assembly ogni volta che i vostri file di progetto portano dati personali identificabili — nomi contractor, ID utente legati al dispositivo, account di servizio incorporati o log fixture di test con ID operatori. I fornitori EMS basati in UE come Energetika-VDS operano sotto un singolo regime di protezione dati applicabile con rimedi civili; i fornitori cinesi operano sotto PIPL e China Cybersecurity Law, dove l'accesso statale ai dati commerciali è legalmente compulso in casi definiti.
Per la maggior parte degli acquirenti di elettronica, "protezione dati nel PCBA" suona come un argomento HR. Non lo è. La vostra BOM contiene la vostra lista fornitori, il vostro firmware contiene i vostri algoritmi, i vostri report di test contengono le vostre rese, e le vostre fixture codificano la vostra strategia di test. Dove risiedono quei dati — e chi può essere compulso a rivelarli — è una decisione di business, non una nota a piè di pagina di conformità.
Perché il GDPR tocca il PCB assembly
Il GDPR (Regolamento UE 2016/679) regola il trattamento di dati personali di residenti UE. Il PCBA sembra un servizio tecnico B2B, ma diversi touchpoint attraversano la linea:
- I file BOM spesso includono nomi ed email di ingegneri, distributori e progettisti contractor.
- I binari firmware possono portare account di servizio compilati, endpoint telemetria legati a utenti identificabili o chiavi crittografiche associate a individui nominati.
- Le email di feedback DFM sono corrispondenza personale per definizione.
- I record di tracciabilità prodotti durante il PCB assembly collegano ID operatori a specifici numeri di serie — sono dati personali sotto l'Articolo 4(1).
- Gli upload allo stadio di preventivo a uno stimatore di preventivo portano indirizzi IP e metadati di contatto.
Nel momento in cui uno qualsiasi dei suddetti entra in un sistema EMS, il GDPR si attiva. La domanda non è "si applica?" ma "la relazione controller-processor è pulita?"
EMS UE vs fornitori cinesi: il quadro legale
| Giurisdizione | Legge primaria | Regola di trasferimento transfrontaliero | Disposizioni di accesso statale | Rimedio civile per violazione |
|---|---|---|---|---|
| UE (incl. Energetika-VDS in MK come parte PEM, allineata GDPR) | GDPR + DPA nazionale | Articolo 45 adeguatezza / SCC | Solo mandato giudiziario | Fino al 4% del fatturato globale |
| Cina (JLCPCB, PCBWay) | PIPL + Cybersecurity Law | Valutazione di sicurezza CAC per esportazione | Articolo 7 Cybersecurity Law — cooperazione obbligatoria | Limitato, discrezionale del tribunale |
| Svizzera / Norvegia (adeguatezza) | revFADP / Personal Data Act | Articolo 45 equivalente | Solo mandato giudiziario | Comparabile a GDPR |
| Stati Uniti | Mosaico statale (CCPA, ecc.) | Nessuno per B2B stile PCBA | FISA 702, CLOUD Act | Settoriale |
Il framework PIPL in Cina include disposizioni (Articolo 41) che consentono trasferimento ad autorità non cinesi solo con approvazione del governo RPC — significando che la vostra BOM, se richiesta da un regolatore UE, non può essere restituita senza il via libera di Pechino. Per la maggior parte dell'elettronica di consumo questo è irrilevante. Per progetti di difesa-adiacenti, medicali, dual-use o infrastruttura critica, è materiale.
Cosa appare davvero la "gestione dati" presso un EMS UE medio
Quando un cliente ingaggia Energetika-VDS, la pipeline dati gira come segue:
- NDA firmato prima che qualsiasi file tecnico arrivi. Bilaterale, mutua, governata dalla legge macedone con opzione di sede UE.
- File caricati via TLS al nostro portale di quotazione; metadati strippati dai PDF.
- BOM importata in MES per sourcing componenti; i nomi fornitori sono visibili solo allo sportello acquisti.
- Gerber, pick-and-place e firmware archiviati in un vault di progetto, crittografati a riposo (AES-256).
- L'accesso operatori è basato su ruolo; gli operatori di linea vedono ID job, non nomi cliente.
- Dopo la scadenza della finestra di garanzia (tipicamente 24 mesi post-spedizione finale), i file sono cancellati in sicurezza — livello NIST SP 800-88 Purge.
- I record di tracciabilità che collegano operatore a numero di serie sono conservati per policy qualità-tracciabilità e IPC-1782.
Il processo completo è documentato sotto manufacturing process e i nostri controlli di ispezione e test.
Firmware e IP: le preoccupazioni specifiche
Il firmware è l'artefatto a più alto rischio in un contratto PCBA. I clienti chiedono:
- "Se flashate il mio binario, ne tenete una copia?" Sì — per la finestra di garanzia — crittografata e non estraibile dalla linea.
- "Un concorrente sulla vostra linea può vedere il mio firmware?" No. Le celle di produzione sono fisicamente segregate; le stazioni di programmazione scrivono da un vault sigillato.
- "Cosa succede se un programmatore lascia?" Il loro accesso è revocato lo stesso giorno; il log di audit del vault mostra ogni lettura.
- "Fate reverse engineering?" Contrattualmente proibito; tecnicamente inutile — siamo un assemblatore, non una chip-house.
Per progetti sensibili, i clienti possono fornire MCU pre-flashati, spedire vuoto o usare fuse one-time-programmable post-FCT.
Retention dati, eliminazione e diritti di audit
Le finestre di retention degli EMS UE medi sono legate all'obbligo di garanzia e alle regole di tracciabilità IPC (la retention di dieci anni non è un default GDPR — è una scelta guidata dal cliente per settori safety-critical). Retention Energetika-VDS standard:
- Preventivo e corrispondenza email: 36 mesi
- BOM, gerber, P&P: finestra di garanzia + 12 mesi
- Binario firmware: solo finestra di garanzia
- JSON tracciabilità (operatore + seriale + lotto): 10 anni per IPC Class 3, 5 anni per Class 2
- Immagini AOI: 6 mesi salvo che il cliente richieda più a lungo
I clienti possono auditare la gestione dati con preavviso di 30 giorni. Siamo un'alternativa a JLCPCB precisamente perché quel diritto di audit è applicabile qui ed effettivamente non applicabile a Shenzhen.
Raccomandazioni pratiche
- Per PCB assembly basso volume in Europa, un EMS UE rimuove un intero vettore di conformità a premio di costo modesto.
- Includete un allegato di protezione dati nella vostra RFQ. Lo firmeremo. La maggior parte delle case asiatiche no.
- Chiedete il diagramma di flusso dati. Se l'EMS non può produrne uno in una settimana, andatevene.
- Verificate la lista sub-processor. Lavoro di programmazione o test-house subappaltato necessita lo stesso flow-down.
- Quando richiedete un preventivo, segnalate a monte qualsiasi esposizione di dati personali in modo che lo scope NDA corrisponda alla realtà.
Domande frequenti
Il GDPR è rilevante per il PCBA? Sì, ogni volta che i file di progetto portano dati personali — nomi contractor, ID utente incorporati, endpoint telemetria legati a persone o record di tracciabilità che collegano operatori a unità. Per la maggior parte dell'elettronica commerciale, la risposta è "sì, in modo limitato."
E la mia IP firmware? I binari firmware sono memorizzati crittografati, accessibili solo da credenziali di stazione di programmazione, e cancellati a fine garanzia. Il reverse engineering è contrattualmente proibito e operativamente non è quello che fa un assemblatore. I clienti che vogliono massimo controllo possono fornire dispositivi pre-flashati.
Quali sono le norme di retention dati EMS UE? BOM e gerber: finestra di garanzia più 12 mesi. Firmware: solo finestra di garanzia. Tracciabilità: 10 anni per IPC Class 3, 5 anni per Class 2. Immagini AOI: 6 mesi default. Tutto sovrascrivibile dal cliente.
Un NDA è standard? Sì, firmato bilateralmente prima dell'arrivo dei file. Energetika-VDS fornisce un NDA mutuo standard in inglese; firmeremo anche un template cliente se ragionevole. La legge applicabile è negoziabile; la sede default è Skopje con opzione di arbitrato riconosciuto UE.
Ci sono protezioni extra per progetti difesa o dual-use? Sì — cella segregata, operatori nominati, nessuna programmazione subappaltata, apertura linea testimoniata dal cliente e vault firmware air-gapped. Discutete i requisiti in fase di quotazione.