Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 49 del Regolamento (UE) 2016/679 (GDPR) – Deroghe in specifiche situazioni.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 49 GDPR disciplina le deroghe ai trasferimenti senza adeguatezza/garanzie.
  • Sette deroghe tassative (par. 1): consenso esplicito, contratto, interesse pubblico, giudiziale, vitale, registro pubblico.
  • Carattere eccezionale: solo per trasferimenti occasionali e non ripetitivi.
  • Consenso esplicito (lett. a) con informazione sui rischi.
  • Necessità contrattuale (lett. b-c) stretta: no se evitabile con altre soluzioni.
  • Par. 2: ulteriore deroga per interessi legittimi cogenti, residuale e con notifica al Garante.
Indice dei contenuti

Le deroghe come ultima ratio

L'art. 49 GDPR disciplina le deroghe ai trasferimenti extra-UE in assenza di decisione di adeguatezza (art. 45) e di garanzie adeguate (art. 46). Sono strumento residuale: il considerando 111-114 ne sottolinea il carattere eccezionale. Le deroghe operano solo per trasferimenti occasionali e non ripetitivi (par. 1, ultimo periodo per la deroga del par. 1 secondo periodo): per trasferimenti regolari servono adeguatezza o garanzie. L'EDPB nelle linee guida 2/2018 ha consolidato la stretta interpretazione delle deroghe.

Le sette deroghe del par. 1

Il par. 1 elenca sette deroghe: (a) consenso esplicito dell'interessato; (b) necessità contrattuale per il contratto dell'interessato; (c) necessità contrattuale per contratto stipulato a favore dell'interessato; (d) motivi importanti di interesse pubblico riconosciuti dal diritto UE/SM; (e) accertamento, esercizio o difesa di un diritto in sede giudiziaria; (f) interesse vitale dell'interessato o di altre persone fisiche; (g) trasferimento da registro pubblico aperto a consultazione. Le ipotesi sono tassative.

Carattere eccezionale e restrittivo

Il carattere eccezionale è confermato dal par. 1, ultimo periodo: il trasferimento non può coinvolgere la totalità dei dati o intere categorie di dati. Inoltre, il par. 2 prevede che, qualora il trasferimento non possa basarsi su artt. 45, 46 o sulle deroghe del par. 1, primo periodo, lett. a-g, possa avvenire solo se: non è ripetitivo; riguarda un numero limitato di interessati; è necessario per il perseguimento di interessi legittimi cogenti del titolare sui quali non prevalgano gli interessi dell'interessato; il titolare ha valutato tutte le circostanze e fornito garanzie adeguate.

Consenso esplicito (lett. a)

Il consenso esplicito (lett. a) è la deroga più discussa. Richiede informazione completa sui rischi: l'interessato deve essere informato dei possibili rischi derivanti dall'assenza di decisione di adeguatezza e di garanzie adeguate. Il consenso deve essere esplicito (non desumibile), specifico per il trasferimento, libero, revocabile. Per trasferimenti massivi o ripetuti il consenso è praticamente inutilizzabile: serve singolo, informato consenso per ogni interessato. Per servizi consumer non funziona; per casi specifici (turismo, ricerca individuale) può operare.

Necessità contrattuale (lett. b-c)

La necessità contrattuale (lett. b) opera per contratti con l'interessato (es. prenotazione hotel con cliente USA: trasferimento dati alla catena alberghiera americana è necessario). La lett. c opera per contratti stipulati a favore dell'interessato (es. trasferimento dati di un beneficiario a una compagnia assicurativa estera). In entrambi i casi, la necessità è stretta: trasferimenti che potrebbero essere evitati con architetture alternative non sono coperti.

Interesse pubblico, vitale, giudiziario (lett. d-f)

L'interesse pubblico (lett. d) deve essere riconosciuto dal diritto UE/SM: esempi sono cooperazione internazionale in sanità pubblica (emergenze sanitarie), cooperazione fiscale internazionale, scambio di informazioni per sicurezza alimentare. L'accertamento giudiziario (lett. e) copre trasferimenti per contenziosi extra-UE (es. discovery in cause USA): la deroga è stretta e va valutata con cautela per evitare divulgazione massiva. L'interesse vitale (lett. f) copre emergenze: trasferimento di dati medici per soccorso a turista estero in pericolo. La lett. g copre registri pubblici aperti (es. registro imprese).

Regola pratica e checklist operativa

Compliance art. 49: (i) valutare se la deroga è applicabile (carattere occasionale, tassatività); (ii) preferire art. 45-46 per trasferimenti regolari; (iii) per consenso, informazione completa sui rischi; (iv) documentare la valutazione; (v) per par. 2, notifica al Garante; (vi) integrazione nel registro art. 30. L'art. 49 è ultima ratio.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: prenotazione hotel USA

Tizio, viaggiatore, prenota hotel USA. Trasferimento dati alla catena americana: necessità contrattuale lett. b). Senza accordo internazionale, la deroga opera per il singolo cliente.

Caso 2: Caio: contenzioso USA e discovery

Caio è coinvolto in causa USA. Discovery richiede trasferimento documenti. Lett. e): difesa di un diritto in sede giudiziaria. Trasferimento valutato e limitato al minimo.

Caso 3: Sempronio: emergenza sanitaria all'estero

Sempronio, turista colpito da infarto all'estero, dati medici trasferiti per soccorso. Lett. f): interesse vitale. Deroga eccezionale ammessa.

Caso 4: Commento applicativo

L'art. 49 è ultima ratio. Per servizi consumer e B2B regolari non opera: serve adeguatezza o SCC. Per casi specifici (turismo, contenzioso, emergenze) è strada percorribile.

Domande frequenti

Quando si applicano le deroghe?

In assenza di decisione di adeguatezza (art. 45) e di garanzie adeguate (art. 46), solo per casi tassativi del par. 1 (7 deroghe) e carattere occasionale non ripetitivo.

Il consenso esplicito è sempre valido?

Solo con informazione completa sui rischi del trasferimento e in modo esplicito. Per trasferimenti massivi o ripetuti praticamente inutilizzabile: serve consenso individuale informato.

La necessità contrattuale è larga?

No, è stretta. Il trasferimento deve essere oggettivamente necessario per il contratto con o a favore dell'interessato. Se evitabile con altre soluzioni, non opera.

Posso usare la deroga di interesse pubblico?

Solo se l'interesse pubblico è riconosciuto dal diritto UE/SM. Esempi: cooperazione sanitaria internazionale, scambi fiscali, sicurezza alimentare.

Cosa è la deroga di interesse legittimo cogente?

Par. 2: residuale, per trasferimenti non ripetitivi a numero limitato di interessati, per interessi legittimi cogenti del titolare con garanzie adeguate e notifica al Garante.

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.