Trasferimento Dati Extra-UE: Regole GDPR, Schrems II e Strumenti Legali 2026
Come trasferire dati personali fuori dall'UE in modo legale. Guida agli strumenti del Capitolo V GDPR: SCCs, BCR, Data Privacy Framework USA, adeguatezza e deroghe. Aggiornata 2026.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Quando è legale trasferire dati personali fuori dall'Unione Europea?
Il trasferimento di dati personali verso paesi al di fuori dello Spazio Economico Europeo (SEE) è consentito solo se è garantito un livello di protezione equivalente a quello del GDPR. Il Capitolo V del GDPR (artt. 44-49) definisce tassativamente gli strumenti legali disponibili: decisioni di adeguatezza, Clausole Contrattuali Standard (SCCs), Binding Corporate Rules (BCR) e deroghe specifiche. In assenza di uno di questi strumenti, il trasferimento è vietato e sanzionabile, indipendentemente da accordi contrattuali tra le parti.
Il trasferimento di dati extra-UE è tra le aree di maggiore rischio nella compliance GDPR per le aziende italiane. L'uso quotidiano di strumenti cloud, CRM, piattaforme email, analytics e servizi SaaS con sede negli USA o in altri paesi terzi configura spesso un trasferimento di dati personali che richiede una base giuridica specifica ai sensi del Capitolo V del Regolamento (UE) 2016/679.
Fonti primarie: Reg. UE 2016/679 — Capitolo V (Art. 44-49) — EUR-Lex · Decisione SCCs 2021/914/UE — EUR-Lex · EDPB — Raccomandazioni 01/2020 su misure supplementari · EU-US Data Privacy Framework — DPF.gov
Perché il Capitolo V GDPR è così importante?
L'Art. 44 GDPR stabilisce il principio fondamentale: qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali può avvenire solo se il titolare e il responsabile del trattamento rispettano le condizioni del Capitolo V. Il trasferimento avviene non solo tramite invio attivo di file o email, ma anche:
- Accedendo a dati tramite software cloud con server fuori SEE (AWS, Azure, Google Cloud in region USA)
- Consentendo al personale di una società extra-UE di accedere al sistema informatico
- Integrando API di servizi terzi (es. Twilio, Mailchimp, HubSpot) che ricevono dati degli utenti
- Usando piattaforme di videoconferenza che archiviano registrazioni fuori UE
Nella consulenza a imprese italiane, constato che la sottovalutazione del trasferimento dati avviene soprattutto nell'adozione di strumenti SaaS americani: l'azienda sottoscrive i T&C del fornitore ma non verifica se esiste una base giuridica valida per il trasferimento dati verso gli USA.
Quali paesi sono considerati "adeguati" dalla Commissione Europea?
La decisione di adeguatezza (Art. 45 GDPR) è emessa dalla Commissione Europea quando ritiene che un paese terzo garantisca un livello di protezione equivalente a quello dell'UE. Il trasferimento verso questi paesi non richiede ulteriori garanzie.
Paesi con decisione di adeguatezza vigente (aggiornato aprile 2026):
| Paese/Territorio | Decisione | Note |
|---|---|---|
| Andorra | Vigente | — |
| Argentina | Vigente | — |
| Canada (settore privato) | Vigente | — |
| Giappone | Vigente | — |
| Guernsey, Jersey, Isola di Man | Vigente | Territori UK dipendenti |
| Israele | Vigente | — |
| Nuova Zelanda | Vigente | — |
| Svizzera | Vigente | — |
| Uruguay | Vigente | — |
| Corea del Sud | Vigente | — |
| UK (Reino Unito) | Vigente | Post-Brexit, soggetta a revisione periodica |
| USA (aziende certificate DPF) | Vigente (luglio 2023) | Solo per aziende iscritte al Data Privacy Framework |
Nota importante: Le decisioni di adeguatezza sono soggette a revisione e possono essere invalidate dalla Corte di Giustizia dell'UE (come avvenuto per Safe Harbor nel 2015 — Schrems I — e Privacy Shield nel 2020 — Schrems II). La stabilità dell'EU-US Data Privacy Framework è oggetto di monitoraggio da parte dell'EDPB.
Cosa sono le Clausole Contrattuali Standard (SCCs)?
Le Clausole Contrattuali Standard (SCCs) sono contratti-tipo approvati dalla Commissione Europea con Decisione 2021/914/UE che definiscono le obbligazioni di tutela dei dati tra le parti coinvolte nel trasferimento. Sono lo strumento più utilizzato quando non esiste una decisione di adeguatezza.
La Decisione 2021/914/UE, in vigore dal 27 settembre 2021 (con obbligo di migrazione dai vecchi moduli entro il 27 dicembre 2022), prevede quattro moduli:
| Modulo | Scenario | Parti |
|---|---|---|
| Modulo 1 | Controller → Controller | Titolare UE → Titolare extra-UE |
| Modulo 2 | Controller → Processor | Titolare UE → Responsabile extra-UE |
| Modulo 3 | Processor → Processor | Responsabile UE → Sub-responsabile extra-UE |
| Modulo 4 | Processor → Controller | Responsabile extra-UE → Titolare extra-UE |
Come si usano le SCCs nella pratica?
- Identificare il modulo applicabile in base ai ruoli delle parti nel trasferimento
- Inserire le SCCs nel contratto con il fornitore extra-UE (o allegate come Addendum al DPA)
- Compilare le Appendici delle SCCs: descrizione del trattamento, misure di sicurezza, lista sub-processor
- Condurre un Transfer Impact Assessment (TIA): valutare se il contesto legale del paese destinatario pregiudica l'efficacia delle SCCs
- Documentare la valutazione nel registro dei trattamenti
- Monitorare l'evoluzione del quadro legale del paese destinatario
Errore frequente: Firmare le SCCs "in blocco" senza compilare le appendici o senza condurre il TIA. Il Garante Privacy e le altre Autorità europee hanno sanzionato questa pratica: le SCCs firmate ma prive di appendici o TIA non costituiscono una garanzia valida ai sensi dell'Art. 46 GDPR.
Cosa è il Transfer Impact Assessment (TIA) e quando è obbligatorio?
Il Transfer Impact Assessment (TIA) è la valutazione che il titolare del trattamento deve condurre per verificare se le garanzie contrattuali (SCCs o BCR) possono essere effettivamente rispettate nel paese destinatario, tenuto conto del suo quadro legale (legislazione sulla sorveglianza, accesso delle autorità ai dati, rimedi per gli interessati).
Il TIA è stato reso obbligatorio dalle Raccomandazioni EDPB 01/2020 sulle misure supplementari, adottate in risposta alla sentenza Schrems II (CGUE C-311/18, luglio 2020) che ha invalidato il Privacy Shield per i trasferimenti verso gli USA.
Passi del TIA:
- Conoscere il trasferimento: quali dati, verso quale paese, con quale frequenza
- Verificare lo strumento di trasferimento adottato (SCCs, BCR, adeguatezza)
- Valutare se la normativa del paese terzo pregiudica l'efficacia dello strumento
- Se esistono problemi: adottare misure supplementari (cifratura end-to-end, pseudonimizzazione, accesso limitato)
- Documentare la valutazione e la sua conclusione
Per i trasferimenti verso gli USA tramite aziende certificate EU-US Data Privacy Framework, l'EDPB ha confermato che non è richiesto un TIA aggiuntivo, a condizione che il destinatario sia effettivamente iscritto al DPF (verificabile su dataprivacyframework.gov).
Cosa è l'EU-US Data Privacy Framework (DPF) e come funziona?
L'EU-US Data Privacy Framework (DPF) è il meccanismo adottato nel luglio 2023 che consente il trasferimento di dati personali dall'UE verso aziende statunitensi certificate, senza necessità di SCCs o TIA, sulla base della Decisione di adeguatezza della Commissione UE del 10 luglio 2023.
Le aziende USA che aderiscono al DPF si impegnano a rispettare standard specifici di protezione dei dati (simili al vecchio Privacy Shield ma con garanzie aggiuntive sui meccanismi di ricorso). L'elenco delle aziende certificate è pubblico sul sito ufficiale.
Come verificare se un fornitore USA è certificato DPF:
- Accedere a dataprivacyframework.gov/list
- Cercare il nome dell'azienda (es. "Google LLC", "Salesforce")
- Verificare che la certificazione sia attiva e che copra la categoria di dati trasferiti
Attenzione: La certificazione DPF copre solo la specifica entità legale che l'ha ottenuta. Le sussidiarie o affiliate non sono automaticamente coperte. Verificare l'entity name esatta nel registro DPF.
Il DPF è stato sottoposto a ricorso da parte dell'associazione NOYB (Max Schrems) dinanzi alla CGUE. Alla data di pubblicazione, la Decisione di adeguatezza è vigente, ma la situazione è soggetta a monitoraggio. Si raccomanda di verificare aggiornamenti periodicamente.
Come trattare i trasferimenti dati verso servizi cloud comuni?
Nella pratica aziendale, i trasferimenti extra-UE più frequenti riguardano servizi cloud americani. Orientamenti aggiornati (aprile 2026):
| Servizio | Meccanismo di trasferimento | Verifica consigliata |
|---|---|---|
| Google Workspace / Gmail | SCCs + DPF (Google LLC certificata) | Verificare data processing amendment nel contratto |
| Microsoft 365 / Azure | SCCs + DPF + EU Data Boundary opzione | Verificare configurazione EU Data Boundary |
| AWS | SCCs per default; EU region disponibile | Verificare in quale region risiedono i dati |
| Slack | SCCs + DPF (Slack certificata) | Verificare DPA Slack in ambito Enterprise Grid |
| HubSpot | SCCs + DPF | Verificare DPA e lista sub-processor |
| Mailchimp (Intuit) | SCCs + DPF | Verificare DPA nel pannello admin |
| Stripe | SCCs + DPF + Clausole UK | Verificare DPA Stripe nel dashboard |
Nota redazionale: Le informazioni sugli strumenti di trasferimento adottati dai singoli fornitori possono cambiare. Verificare sempre il Data Processing Agreement aggiornato del fornitore e l'iscrizione DPF attuale prima di fare affidamento su queste indicazioni.
Quali sono le sanzioni per trasferimenti extra-UE non conformi?
Le violazioni del Capitolo V GDPR sono tra quelle sanzionabili con le ammende più elevate:
| Violazione | Riferimento | Sanzione massima |
|---|---|---|
| Trasferimento in assenza di meccanismo legale | Art. 83.5 GDPR | Fino a 20 milioni EUR o 4% fatturato mondiale |
| SCCs non correttamente implementate | Art. 83.5 GDPR | Fino a 20 milioni EUR o 4% fatturato mondiale |
| Mancato TIA documentato | Art. 83.4 GDPR | Fino a 10 milioni EUR o 2% fatturato mondiale |
Il Garante Privacy irlandese ha emesso nel 2023 una sanzione di 1,2 miliardi di euro nei confronti di Meta Platforms Ireland Limited per trasferimenti di dati verso gli USA in violazione del GDPR — la sanzione più alta mai irrogata ai sensi del GDPR fino a tale data.
Domande Frequenti (FAQ)
Un'azienda italiana che usa Salesforce o HubSpot sta trasferendo dati extra-UE? Dipende dalla configurazione del servizio e dalla location dei server. Se i dati degli utenti europei vengono elaborati o archiviati su server in USA (anche temporaneamente), si configura un trasferimento extra-UE. Molti provider SaaS offrono la possibilità di scegliere server in Europa (EU region): in tal caso il trasferimento non avviene. In assenza di questa configurazione, è necessario verificare che il fornitore abbia SCCs o DPF attivi e che il DPA sia stato firmato.
Le SCCs sono valide per sempre una volta firmate? No. Le SCCs devono essere monitorate: se cambia il quadro legale del paese destinatario, o se emergono nuove sentenze della CGUE che le impattano, potrebbero essere necessarie misure supplementari o un nuovo strumento di trasferimento. Il TIA è un processo dinamico, non un adempimento una-tantum.
Un dipendente in smart working negli USA configura un trasferimento dati extra-UE? Sì, potenzialmente. Se un dipendente accede a sistemi che contengono dati personali di persone fisiche UE da un dispositivo fisicamente negli USA (o in qualsiasi paese extra-SEE), si configura un trasferimento. È necessario valutare caso per caso, considerando le garanzie tecniche (VPN, cifratura) e verificare che le politiche aziendali prevedano una base giuridica adeguata.
Il GDPR si applica anche se l'azienda italiana usa solo fornitori italiani o europei? Se tutti i fornitori sono stabiliti nello SEE e i dati non lasciano lo SEE, il Capitolo V non si applica. Tuttavia, molti provider europei si affidano a sub-processor extra-UE (es. infrastruttura cloud AWS o Google). La verifica della catena dei sub-processor è essenziale per escludere trasferimenti indiretti.
L'UK è ancora considerato un paese adeguato dopo la Brexit? Sì, fino alla scadenza dell'attuale decisione di adeguatezza. La Commissione UE ha adottato una decisione di adeguatezza per il UK nel giugno 2021, soggetta a revisione periodica. Il UK ha adottato il proprio quadro normativo post-GDPR (UK GDPR + Data Protection Act 2018). La situazione è soggetta a monitoraggio periodico.
Quando serve una consulenza personalizzata
La mappatura dei trasferimenti extra-UE, la verifica degli strumenti adottati da ogni fornitore, la conduzione del TIA e la corretta implementazione delle SCCs sono attività che richiedono sia competenze legali sia conoscenza tecnica dei sistemi informativi utilizzati. Un audit dei trasferimenti dati è particolarmente rilevante in presenza di strumenti cloud americani, CRM, piattaforme di marketing automation e strumenti di analisi con server fuori SEE.
Disclaimer: Questo articolo ha finalità informative e non costituisce parere legale né consulenza professionale. Il Capitolo V GDPR e i meccanismi di trasferimento extra-UE sono soggetti a evoluzione normativa e giurisprudenziale (CGUE, EDPB, Garante Privacy) che può modificare il quadro applicabile. Per valutare la conformità dei trasferimenti specifici della propria organizzazione, è necessaria una consulenza individuale aggiornata.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →