Art. 44 GDPR — Principio generale per il trasferimento

Commento

Il quadro dei trasferimenti

L'art. 44 GDPR fissa il principio generale per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. La regola è: i trasferimenti possono avvenire soltanto se sono rispettate le condizioni stabilite dal Capo V (artt. 44-50), e tutte le disposizioni del presente capo sono applicate al fine di garantire che il livello di protezione delle persone fisiche assicurato dal presente Regolamento non sia pregiudicato. È principio di equivalenza: il dato che esce dall'UE deve mantenere lo stesso livello di tutela.

Principio di equivalenza (par. 1)

Il par. 1, ultimo periodo, estende l'obbligo ai trasferimenti successivi: si applicano a qualsiasi trasferimento successivo di dati personali dal paese terzo o dall'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale. La regola della catena: l'equivalenza si propaga lungo tutti i passaggi. Un cloud provider USA che trasferisce a sub-provider in India è soggetto allo stesso regime; un datacenter UE che invia ai suoi nodi extra-UE è soggetto al regime. La compliance richiede mapping completo dei flussi.

Trasferimenti successivi onward (par. 1)

Le quattro strade del Capo V sono: (a) decisione di adeguatezza della Commissione (art. 45) per paesi che la Commissione ha riconosciuto come offrenti livello di tutela adeguato; (b) garanzie adeguate (art. 46) come SCC, BCR, codici approvati; (c) Norme vincolanti d'impresa (art. 47) per gruppi multinazionali; (d) deroghe in situazioni specifiche (art. 49) per casi eccezionali. Ogni strada ha requisiti specifici e va valutata caso per caso.

Le quattro strade del Capo V

La sentenza CGUE Schrems II del 2020 ha invalidato il Privacy Shield USA-UE e ha riaffermato il principio di equivalenza in modo stringente. Per i trasferimenti basati su SCC, il titolare deve valutare la legge del paese di destinazione (Transfer Impact Assessment, TIA): se la legge prevede accessi delle autorità non proporzionati, le SCC da sole non bastano. Vanno adottate supplementary measures: cifratura forte, pseudonimizzazione, contratti rafforzati. La giurisprudenza ha consolidato la metodologia.

Sentenza Schrems II e TIA

Il TIA è oggi standard di compliance per trasferimenti UE→USA, UE→Cina, UE→Russia, e in generale verso paesi senza decisione di adeguatezza. Le linee guida EDPB 1/2024 hanno consolidato la metodologia. Il TIA è documento tecnico-giuridico complesso che combina: analisi della legge del paese di destinazione (FISA, CLOUD Act, leggi sulla sicurezza); valutazione delle prassi delle autorità; valutazione delle misure tecniche del data importer; valutazione delle misure organizzative; conclusione sull'adeguatezza.

Sanzioni e Schrems III risk

La sanzionabilità per trasferimenti non conformi è elevata: art. 83, par. 5 prevede fino al 4% del fatturato. La giurisprudenza dei Garanti europei ha sanzionato Meta (1,2 miliardi €), Amazon (746 milioni €), Google Analytics (sanzioni multiple). Il "Schrems III risk" persiste: anche il Data Privacy Framework (DPF) USA-UE potrebbe essere invalidato. La diversificazione delle infrastrutture e la sovranità del dato sono strategie crescenti.

Regola pratica e checklist operativa

Compliance art. 44: (i) mapping flussi e classificazione paesi destinazione; (ii) per ogni paese, valutazione di adeguatezza (art. 45) o scelta strada art. 46-49; (iii) TIA per paesi non-adequati; (iv) supplementary measures (cifratura, pseudonimizzazione, residenza chiavi); (v) tracciamento nel registro art. 30; (vi) monitoring delle decisioni di adeguatezza e Schrems III risk.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.