Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 49 del Regolamento (UE) 2016/679 (GDPR) – Deroghe in specifiche situazioni.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Vedi anche
→GDPR art. 48 - Art. 48 GDPR - Trasferimento o comunicazione non autorizzati dal…→GDPR art. 50 - Art. 50 GDPR - Cooperazione internazionale per la protezione dei…→Cod. Privacy art. 1 - Art. 1 D.Lgs. 196/2003 - Oggetto→Cost. art. 15 - Segretezza comunicazioni→Art. 47 GDPR – Norme vincolanti d’impresa→Art. 51 GDPR – Autorità di controllo→Art. 46 GDPR – Trasferimento soggetto a garanzie adeguate→Art. 52 GDPR – Indipendenza→Art. 45 GDPR – Trasferimento sulla base di una decisione di adeguatezza→Art. 53 GDPR – Condizioni generali per i membri dell’autorità di controllo→Art. 44 GDPR – Principio generale per il trasferimento→Art. 54 GDPR – Norme sull’istituzione dell’autorità di controllo
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
Le deroghe come ultima ratio
L'art. 49 GDPR disciplina le deroghe ai trasferimenti extra-UE in assenza di decisione di adeguatezza (art. 45) e di garanzie adeguate (art. 46). Sono strumento residuale: il considerando 111-114 ne sottolinea il carattere eccezionale. Le deroghe operano solo per trasferimenti occasionali e non ripetitivi (par. 1, ultimo periodo per la deroga del par. 1 secondo periodo): per trasferimenti regolari servono adeguatezza o garanzie. L'EDPB nelle linee guida 2/2018 ha consolidato la stretta interpretazione delle deroghe.
Le sette deroghe del par. 1
Il par. 1 elenca sette deroghe: (a) consenso esplicito dell'interessato; (b) necessità contrattuale per il contratto dell'interessato; (c) necessità contrattuale per contratto stipulato a favore dell'interessato; (d) motivi importanti di interesse pubblico riconosciuti dal diritto UE/SM; (e) accertamento, esercizio o difesa di un diritto in sede giudiziaria; (f) interesse vitale dell'interessato o di altre persone fisiche; (g) trasferimento da registro pubblico aperto a consultazione. Le ipotesi sono tassative.
Carattere eccezionale e restrittivo
Il carattere eccezionale è confermato dal par. 1, ultimo periodo: il trasferimento non può coinvolgere la totalità dei dati o intere categorie di dati. Inoltre, il par. 2 prevede che, qualora il trasferimento non possa basarsi su artt. 45, 46 o sulle deroghe del par. 1, primo periodo, lett. a-g, possa avvenire solo se: non è ripetitivo; riguarda un numero limitato di interessati; è necessario per il perseguimento di interessi legittimi cogenti del titolare sui quali non prevalgano gli interessi dell'interessato; il titolare ha valutato tutte le circostanze e fornito garanzie adeguate.
Consenso esplicito (lett. a)
Il consenso esplicito (lett. a) è la deroga più discussa. Richiede informazione completa sui rischi: l'interessato deve essere informato dei possibili rischi derivanti dall'assenza di decisione di adeguatezza e di garanzie adeguate. Il consenso deve essere esplicito (non desumibile), specifico per il trasferimento, libero, revocabile. Per trasferimenti massivi o ripetuti il consenso è praticamente inutilizzabile: serve singolo, informato consenso per ogni interessato. Per servizi consumer non funziona; per casi specifici (turismo, ricerca individuale) può operare.
Necessità contrattuale (lett. b-c)
La necessità contrattuale (lett. b) opera per contratti con l'interessato (es. prenotazione hotel con cliente USA: trasferimento dati alla catena alberghiera americana è necessario). La lett. c opera per contratti stipulati a favore dell'interessato (es. trasferimento dati di un beneficiario a una compagnia assicurativa estera). In entrambi i casi, la necessità è stretta: trasferimenti che potrebbero essere evitati con architetture alternative non sono coperti.
Interesse pubblico, vitale, giudiziario (lett. d-f)
L'interesse pubblico (lett. d) deve essere riconosciuto dal diritto UE/SM: esempi sono cooperazione internazionale in sanità pubblica (emergenze sanitarie), cooperazione fiscale internazionale, scambio di informazioni per sicurezza alimentare. L'accertamento giudiziario (lett. e) copre trasferimenti per contenziosi extra-UE (es. discovery in cause USA): la deroga è stretta e va valutata con cautela per evitare divulgazione massiva. L'interesse vitale (lett. f) copre emergenze: trasferimento di dati medici per soccorso a turista estero in pericolo. La lett. g copre registri pubblici aperti (es. registro imprese).
Regola pratica e checklist operativa
Compliance art. 49: (i) valutare se la deroga è applicabile (carattere occasionale, tassatività); (ii) preferire art. 45-46 per trasferimenti regolari; (iii) per consenso, informazione completa sui rischi; (iv) documentare la valutazione; (v) per par. 2, notifica al Garante; (vi) integrazione nel registro art. 30. L'art. 49 è ultima ratio.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: prenotazione hotel USA
Tizio, viaggiatore, prenota hotel USA. Trasferimento dati alla catena americana: necessità contrattuale lett. b). Senza accordo internazionale, la deroga opera per il singolo cliente.
Caso 2: Caio: contenzioso USA e discovery
Caio è coinvolto in causa USA. Discovery richiede trasferimento documenti. Lett. e): difesa di un diritto in sede giudiziaria. Trasferimento valutato e limitato al minimo.
Caso 3: Sempronio: emergenza sanitaria all'estero
Sempronio, turista colpito da infarto all'estero, dati medici trasferiti per soccorso. Lett. f): interesse vitale. Deroga eccezionale ammessa.
Caso 4: Commento applicativo
L'art. 49 è ultima ratio. Per servizi consumer e B2B regolari non opera: serve adeguatezza o SCC. Per casi specifici (turismo, contenzioso, emergenze) è strada percorribile.
Domande frequenti
Quando si applicano le deroghe?
In assenza di decisione di adeguatezza (art. 45) e di garanzie adeguate (art. 46), solo per casi tassativi del par. 1 (7 deroghe) e carattere occasionale non ripetitivo.
Il consenso esplicito è sempre valido?
Solo con informazione completa sui rischi del trasferimento e in modo esplicito. Per trasferimenti massivi o ripetuti praticamente inutilizzabile: serve consenso individuale informato.
La necessità contrattuale è larga?
No, è stretta. Il trasferimento deve essere oggettivamente necessario per il contratto con o a favore dell'interessato. Se evitabile con altre soluzioni, non opera.
Posso usare la deroga di interesse pubblico?
Solo se l'interesse pubblico è riconosciuto dal diritto UE/SM. Esempi: cooperazione sanitaria internazionale, scambi fiscali, sicurezza alimentare.
Cosa è la deroga di interesse legittimo cogente?
Par. 2: residuale, per trasferimenti non ripetitivi a numero limitato di interessati, per interessi legittimi cogenti del titolare con garanzie adeguate e notifica al Garante.