In sintesi
- L'art. 45 GDPR disciplina i trasferimenti su decisione di adeguatezza.
- Strada più semplice: equivalente a trasferimento intra-UE.
- Criteri (par. 2): stato di diritto, legislazione, autorità indipendenti, impegni internazionali.
- Lista aggiornata: UK, Giappone, Svizzera, Argentina, Canada, USA-DPF, ecc.
- Riesame periodico (par. 4-5): almeno ogni 4 anni.
- Casi: DPF USA-UE (2023), UK post-Brexit, Giappone con Supplementary Rules.
Testo dell'articoloVigente
Articolo 45 del Regolamento (UE) 2016/679 (GDPR) — Trasferimento sulla base di una decisione di adeguatezza.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La decisione di adeguatezza come strumento
L'art. 45 GDPR disciplina il trasferimento basato su una decisione di adeguatezza della Commissione europea. È la strada più semplice: la Commissione attesta che un paese terzo, un territorio, uno o più settori specifici, o un'organizzazione internazionale, offrono un livello di protezione adeguato. La conseguenza è che il trasferimento non richiede ulteriori autorizzazioni: opera direttamente come un trasferimento intra-UE. Il considerando 103 spiega la ratio: facilitare i trasferimenti verso paesi che hanno standard di protezione equivalenti.
Criteri valutativi (par. 2)
Il par. 2 elenca i criteri valutativi: lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali; la pertinente legislazione, generale e settoriale, anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale, accesso delle autorità pubbliche ai dati personali; l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti; gli impegni internazionali assunti dal paese. La valutazione è complessa e multidisciplinare.
Procedura di adozione (par. 3)
Il par. 3 prevede che la Commissione, dopo aver valutato l'adeguatezza, adotti un atto di esecuzione che individua i paesi/settori adeguati. La procedura è formalizzata: scrutinio iniziale, consultazioni con EDPB, atto di esecuzione. L'EDPB pubblica opinion sui draft. La sentenza Schrems II del 2020 ha consolidato i requisiti di rigore: la Commissione deve verificare non solo l'equivalenza formale ma anche le prassi effettive di accesso delle autorità.
Lista dei paesi adeguati
L'elenco aggiornato dei paesi con decisione di adeguatezza include (a 2026): Andorra, Argentina, Canada (settore commerciale), Faroe, Guernsey, Israele, Isola di Man, Jersey, Giappone, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito (post-Brexit), Uruguay, e USA con il Data Privacy Framework (DPF) per soggetti certificati. L'elenco si aggiorna periodicamente. La verifica della lista è primo passo nella mappatura dei flussi.
Riesame periodico (par. 4-5)
Il par. 4-5 disciplina il riesame periodico: la Commissione monitora gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che possano incidere sul funzionamento delle decisioni; almeno ogni quattro anni la Commissione riesamina la decisione. Se necessario, la Commissione può abrogare, modificare o sospendere una decisione di adeguatezza. La sentenza Schrems II ha esemplificato: il Privacy Shield USA è stato invalidato per inadeguatezza effettiva. La governance è dinamica.
DPF USA-UE e Brexit
Casi paradigmatici: il DPF USA-UE (luglio 2023) sostituisce il Privacy Shield e disciplina i trasferimenti a soggetti USA certificati nel framework; il Brexit ha richiesto nuova decisione di adeguatezza per UK (giugno 2021, valida 4 anni, rinnovo 2025); l'Adequacy Decision UE-Giappone richiede salvaguardie supplementari (Supplementary Rules giapponesi). Per i flussi USA, il titolare verifica la certificazione del data importer nel DPF; per UK, ricontrolla periodicamente la durata della decisione.
Regola pratica e checklist operativa
Compliance art. 45: (i) verificare lista paesi adeguati; (ii) per USA, verifica certificazione DPF del data importer; (iii) per Giappone, applicare Supplementary Rules; (iv) monitoring scadenze e novità; (v) piano B per invalidazione (SCC pronti); (vi) tracciamento nel registro art. 30. Il monitoring è obbligo continuo.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: trasferimento a UK
Tizio trasferisce dati a partner UK. La UK ha decisione di adeguatezza UE (giugno 2021): art. 45, no ulteriori garanzie. Monitorare scadenza (rinnovo 2025+).
Caso 2: Caio: server USA con DPF
Caio usa cloud USA. Verifica certificazione DPF del provider. Se certificato: art. 45 via DPF. Se non certificato: SCC + TIA.
Caso 3: Sempronio: ricerca Giappone
Sempronio, ricercatore, collabora con università giapponese. Adeguatezza UE-Giappone con Supplementary Rules: art. 45 + condizioni specifiche per cat. particolari.
Caso 4: Commento applicativo
L'art. 45 è la strada preferita ma soggetta a evoluzione (Schrems II ha invalidato Privacy Shield). Monitoring di decisioni e prassi è obbligo continuo.
Domande frequenti
Quali paesi sono adeguati?
Lista aggiornata pubblicata da Commissione: UK, Svizzera, Giappone, Argentina, Canada (commerciale), Israele, Nuova Zelanda, Corea del Sud, Uruguay, USA-DPF, e altri (Andorra, Faroe, Guernsey, Jersey, Isola di Man).
Devo fare TIA per paesi adeguati?
No, la decisione di adeguatezza esonera. Ma occorre verificare specificità (es. Giappone Supplementary Rules, USA limitato al DPF per soggetti certificati).
Come verifico il DPF USA?
Sul sito Department of Commerce DPF: ricerca per nome dell'organizzazione. Verifica certificazione attiva e settore coperto.
Cosa succede se decisione è invalidata?
I trasferimenti vanno riconfigurati su altra base (SCC, BCR, deroghe). Schrems II ha invalidato Privacy Shield: i titolari hanno dovuto ricostruire la base in mesi.
Quanto dura una decisione di adeguatezza?
Indefinita ma con riesame periodico almeno ogni 4 anni (par. 4-5). UK ha decisione con scadenza esplicita (rinnovata periodicamente).
Vedi anche