← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 96 GDPR fissa la continuità con accordi internazionali pre-GDPR.
  • Accordi restano in vigore fino a modifica, sostituzione, revoca.
  • Compatibilità con il GDPR valutata caso per caso.
  • Schrems II ha invalidato il Privacy Shield (sostituito da DPF 2023).
  • Negoziazioni nuove: UK, USA-DPF, paesi terzi.
  • Coordina con art. 45 (adeguatezza) e art. 50 (cooperazione internazionale).

Testo dell'articoloVigente

Articolo 96 del Regolamento (UE) 2016/679 (GDPR) — Rapporto con accordi precedentemente conclusi.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Continuità con accordi internazionali pre-GDPR

L'art. 96 GDPR disciplina la continuità con gli accordi internazionali sulle protezioni dei dati conclusi prima dell'entrata in vigore del Regolamento. Gli accordi internazionali che comportano il trasferimento di dati personali a paesi terzi o organizzazioni internazionali, conclusi dagli Stati membri prima del 24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data, restano in vigore fino a modifica, sostituzione o revoca. È principio di continuità: gli accordi esistenti non sono travolti dall'entrata in vigore del GDPR.

Salvaguardia delle obbligazioni esistenti

La salvaguardia delle obbligazioni esistenti rispetta il principio di stabilità delle relazioni internazionali. Accordi su scambio di dati per cooperazione fiscale, antiriciclaggio, sicurezza, cooperazione di polizia continuano ad applicarsi. Modifiche o sostituzioni richiedono nuova negoziazione coerente con il GDPR.

Riesame e adeguamento (par. 1)

Il par. 1 prevede che gli accordi restino in vigore fino a quando non vengano modificati, sostituiti o revocati. Le modifiche o le sostituzioni devono essere compatibili con il GDPR. La revisione degli accordi è un'attività in corso: la Commissione europea negozia nuovi accordi (o aggiornamenti) per allineare al regime GDPR. È processo lungo: alcuni accordi datano da decenni.

Compatibilità con il GDPR

La compatibilità con il GDPR è valutata di volta in volta. Gli accordi che prevedono trasferimenti senza adeguate garanzie possono essere rinegoziati. La sentenza CGUE Schrems II ha messo in discussione anche accordi non formalmente abrogati: il Privacy Shield USA è stato invalidato per inadeguatezza, anche se l'accordo intergovernativo restava in vigore formalmente.

Casi paradigmatici (Privacy Shield)

Casi paradigmatici includono: Privacy Shield USA-UE (invalidato 2020, sostituito da Data Privacy Framework nel 2023); Safe Harbor pre-2016 (già invalidato Schrems I 2015); accordi PNR (Passenger Name Record) UE-USA, UE-Canada, UE-Australia per cooperazione antiterrorismo (oggetto di sentenze CGUE); accordi su scambio informazioni fiscali (FATCA, CRS). Ognuno con propria evoluzione.

Verso accordi nuovi

Verso accordi nuovi, la Commissione lavora per allineare il quadro al GDPR. Negoziazioni in corso o recenti: Data Privacy Framework USA (luglio 2023); aggiornamento accordi UK post-Brexit (decisione 2021, riesame 2025); aggiornamento accordi adeguatezza con altri paesi; cooperazione con Cina, India, ASEAN. Il quadro è in evoluzione: la cooperazione internazionale (art. 50) è strategia centrale.

Regola pratica e checklist operativa

Compliance art. 96: (i) monitoring di accordi internazionali rilevanti; (ii) valutazione di compatibilità con GDPR; (iii) preparazione a sostituzioni (Privacy Shield → DPF); (iv) coordinamento con TIA art. 46; (v) integrazione nel registro art. 30.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: accordo PNR UE-USA

Tizio, compagnia aerea, trasferisce dati passeggeri agli USA in base ad accordo PNR. Art. 96 + accordo specifico: continua salvo rinegoziazione.

Caso 2: Caio: Privacy Shield invalidato

Caio, e-commerce, usava Privacy Shield per trasferimenti USA. Schrems II 2020: invalidato. Migrato a SCC + TIA; poi DPF 2023.

Caso 3: Sempronio: cooperazione fiscale CRS

Sempronio, banca, partecipa allo scambio automatico CRS per fini fiscali. Accordi OCSE pre-GDPR continuano. Compatibili.

Caso 4: Commento applicativo

L'art. 96 è continuità con prudenza. Schrems II ha mostrato che 'continuità formale' non basta: serve compatibilità sostanziale. Verifica periodica.

Domande frequenti

Gli accordi pre-2016 restano in vigore?

Sì, fino a modifica, sostituzione o revoca (par. 1). Devono essere conformi al diritto UE applicabile prima del 24 maggio 2016.

Sono compatibili con il GDPR?

Va valutato caso per caso. La Commissione e gli SM rivedono periodicamente. Schrems II ha mostrato la possibilità di invalidazione per inadeguatezza.

Cosa è successo al Privacy Shield?

Invalidato dalla sentenza CGUE Schrems II (2020) per inadeguata tutela. Sostituito dal Data Privacy Framework USA-UE nel luglio 2023.

Posso usare accordi vecchi senza preoccuparmi?

No, valuta sempre la compatibilità sostanziale con il GDPR. Aggiornamenti normativi e sentenze CGUE possono mettere in discussione la validità.

Come si aggiornano gli accordi?

Tramite nuove negoziazioni internazionali coordinate dalla Commissione. Coordinamento con SM. Riesame periodico per allineamento al GDPR.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.