MORVANTINE
Protezione dei Dati24 min read

Trasferimenti di Dati del GDPR nel 2026: Orientarsi nel Quadro Post-Schrems II

Analisi pratica dei meccanismi di trasferimento internazionale di dati del GDPR nel 2026: stato giuridico attuale del Quadro Privacy UE-USA sotto pressione politica, Clausole Contrattuali Standard, Norme Vincolanti d'Impresa, decisioni di adeguatezza extra-USA, Valutazioni d'Impatto del Trasferimento e pianificazione di emergenza per DPO, CLO, CTO e consulenti legali in materia di privacy.

Morvantine Editorial — Legal

19 January 2026

Introduzione: L'Instabilità Strutturale dei Flussi di Dati Transatlantici

L'invalidazione del Privacy Shield da parte della Corte di Giustizia dell'Unione Europea nella causa Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18, Schrems II, 16 luglio 2020) ha messo in luce un'incompatibilità strutturale tra la legislazione statunitense in materia di sorveglianza — principalmente il Decreto Esecutivo 12333 e la Sezione 702 del Foreign Intelligence Surveillance Act (FISA) — e i requisiti del GDPR in merito alla protezione equivalente dei dati nei paesi terzi. Il Quadro Privacy UE-USA (DPF), adottato con Decisione della Commissione C(2023) 4745 del 10 luglio 2023, è stato presentato come la soluzione definitiva. Tre anni dopo, si trova ad affrontare un insieme di pressioni giuridiche, politiche e istituzionali che ogni professionista della protezione dei dati dovrebbe considerare un rischio attivo, e non un problema risolto.

Il presente articolo analizza lo spettro completo dei meccanismi di trasferimento disponibili ai sensi dell'articolo 44 del GDPR e della decisione di adeguatezza del DPF UE-USA, valuta la loro robustezza giuridica relativa e fornisce quadri operativi per le organizzazioni che devono garantire la continuità operativa indipendentemente dalle sorti del DPF.

Il Quadro Privacy UE-USA: Stato Giuridico nel 2026

L'Architettura del DPF

La Decisione della Commissione C(2023) 4745 ha dichiarato che gli Stati Uniti assicurano un livello adeguato di protezione per i dati personali trasferiti ad organizzazioni certificate nell'ambito del DPF. L'infrastruttura giuridica centrale del DPF comprende:

  • EO 14086 (Enhancing Safeguards for United States Signals Intelligence Activities, 7 ottobre 2022), che ha introdotto requisiti di proporzionalità per la raccolta di intelligence sui segnali e il meccanismo di ricorso
  • Il Data Protection Review Court (DPRC), istituito ai sensi dell'EO 14086 come organo indipendente per ricevere e decidere i ricorsi individuali dei cittadini UE relativi all'accesso dei servizi di intelligence statunitensi ai loro dati
  • I Principi del DPF (sostanzialmente analoghi ai precedenti principi del Privacy Shield), amministrati dal Dipartimento del Commercio degli Stati Uniti, con potere di esecuzione affidato alla FTC

Sfide Giuridiche Attuali

Nel primo trimestre del 2026, il DPF fronteggia tre significative minacce giuridiche.

Prima sfida: La Quadrature du Net (causa CGUE C-078/25). Presentata nel gennaio 2025 dinanzi alla CGUE, questa impugnazione sostiene che l'EO 14086 non limita adeguatamente la raccolta di massa ai sensi della Sezione 702 della FISA e che il DPRC — un tribunale non-Articolo III operante sotto l'autorità esecutiva — non soddisfa i requisiti della CGUE in materia di «tutela giurisdizionale effettiva» sanciti in Schrems II. La CGUE ha disposto una procedura accelerata nel marzo 2025; il parere dell'Avvocato Generale è atteso per il terzo trimestre del 2026, con una sentenza definitiva potenzialmente a fine 2026 o inizio 2027. I pareri degli Avvocati Generali della CGUE in materia di privacy sono stati storicamente recepiti nella sentenza definitiva (il parere dell'AG nel caso Schrems II aveva anticipato l'invalidazione).

Seconda sfida: Sviluppi politici negli Stati Uniti. La postura della seconda amministrazione Trump in merito alla riautorizzazione della Sezione 702 della FISA e alla riforma dell'intelligence sui segnali ha sollevato interrogativi sulla continuità operativa degli impegni statunitensi nel quadro del DPF. Il DPRC ha trattato meno di 50 casi nei suoi primi 18 mesi di attività — notevolmente al di sotto di quanto anticipato dalle autorità europee di protezione dei dati in ragione del volume di dati di cittadini europei trattati da aziende statunitensi —, generando preoccupazioni accademiche e della società civile circa la sua efficacia pratica.

Terza sfida: Revisione del Comitato Europeo per la Protezione dei Dati (EDPB). Ai sensi del considerando 186 della decisione di adeguatezza del DPF, la Commissione si è impegnata a riesaminare la decisione entro tre anni dalla sua adozione (ossia entro luglio 2026). Il parere dell'EDPB ai sensi dell'articolo 70 sul primo riesame annuale (ottobre 2024) ha rilevato persistenti preoccupazioni riguardo alla trasparenza del DPRC, alla portata della Sezione 702 e all'assenza di limitazioni alla raccolta di massa equivalenti agli standard europei di proporzionalità.

Conclusione pratica: Il DPF dovrebbe essere utilizzato come meccanismo di trasferimento principale ove disponibile, ma nessuna organizzazione che non possa tollerare operativamente un'improvvisa invalidazione dell'adeguatezza dovrebbe fare affidamento esclusivamente sul DPF senza un meccanismo alternativo attivo.

Le Clausole Contrattuali Standard: Il Meccanismo di Riserva Indispensabile

Quadro Giuridico

Le Clausole Contrattuali Standard (CCS) sono lo strumento cardine dei trasferimenti internazionali di dati nell'ambito del GDPR. La Decisione di esecuzione della Commissione 2021/914 (4 giugno 2021) ha sostituito le precedenti CCS con un quadro modulare che copre quattro configurazioni di trasferimento:

  • Modulo 1: Trasferimenti da titolare a titolare del trattamento
  • Modulo 2: Trasferimenti da titolare a responsabile del trattamento
  • Modulo 3: Trasferimenti da responsabile a responsabile del trattamento
  • Modulo 4: Trasferimenti da responsabile a titolare del trattamento

Le nuove CCS hanno incorporato direttamente i requisiti di Schrems II: la Clausola 14 impone una valutazione della legislazione del paese terzo e la Clausola 15 introduce obblighi di notifica e trasparenza in caso di richieste di accesso ai dati da parte di autorità governative.

L'Obbligo di Valutazione d'Impatto del Trasferimento

La sentenza Schrems II ha stabilito che il ricorso alle CCS non garantisce automaticamente una protezione adeguata — il titolare esportatore deve condurre una Valutazione d'Impatto del Trasferimento (TIA) specifica per verificare che le CCS possano essere efficaci nel paese di destinazione. Le Raccomandazioni 01/2020 dell'EDPB sui trasferimenti (adottate nel novembre 2020, aggiornate nel giugno 2021) forniscono il quadro metodologico:

Fase 1: Mappare i trasferimenti — identificare quali dati personali vengono trasferiti, verso quale paese, per quale finalità e in virtù di quale meccanismo di trasferimento.

Fase 2: Verificare lo strumento di trasferimento — confermare il modulo CCS applicabile e la sua corretta attuazione.

Fase 3: Valutare il quadro giuridico del paese terzo — esaminare se la legislazione del paese di destinazione in materia di accesso governativo ai dati è compatibile con le garanzie offerte dalle CCS. Fattori chiave: proporzionalità dei poteri di accesso, esistenza di tutela giurisdizionale o quasi-giurisdizionale effettiva, autorizzazione della raccolta di massa.

Fase 4: Identificare e adottare misure supplementari — se la TIA rivela che le CCS da sole non possono garantire una protezione adeguata, devono essere adottate misure tecniche (cifratura, pseudonimizzazione), contrattuali (garanzie aggiuntive dell'importatore) od organizzative.

Fase 5: Adempiere alle formalità procedurali — eseguire le CCS, conservare la documentazione della TIA, notificare alle autorità di controllo ove richiesto.

CCS e Trasferimenti verso gli USA nel 2026

Le linee guida dell'EDPB successive a Schrems II hanno rilevato che le CCS da sole erano insufficienti per i trasferimenti verso gli USA che coinvolgono categorie di dati suscettibili di attirare l'interesse dei servizi di intelligence (metadati di telecomunicazioni, contenuto di comunicazioni cloud). Il requisito di notifica dell'articolo 15 delle CCS riviste — che obbliga l'importatore statunitense a notificare all'esportatore europeo le richieste di accesso governative — crea un obbligo di conformità pratica che la maggior parte dei provider cloud statunitensi ha soddisfatto attraverso clausole di notifica approvate dalle autorità di protezione dei dati.

Per i trasferimenti verso gli USA non coperti dal DPF (perché il destinatario statunitense non è certificato DPF o la categoria di dati è esclusa dall'ambito del DPF), le CCS Modulo 2 con una TIA adeguata e idonee misure tecniche supplementari (cifratura con chiavi gestite in Europa, pseudonimizzazione alla fonte) rappresentano il meccanismo di riserva giuridicamente più robusto.

Le Norme Vincolanti d'Impresa: Il Massimo Standard e i Suoi Costi

Cosa Offrono le NVI

Le Norme Vincolanti d'Impresa (articoli 46(2)(b) e 47 del GDPR) sono meccanismi di trasferimento infragruppo approvati che consentono il trasferimento di dati personali tra entità dello stesso gruppo in diverse giurisdizioni. Approvate dall'autorità di controllo capofila nell'ambito del meccanismo di coerenza di cui all'articolo 60, le NVI vincolano tutte le entità del gruppo come terzi beneficiari e conferiscono agli interessati diritti azionabili nei confronti del titolare del trattamento vincolato dalle NVI.

Le NVI costituiscono il meccanismo di trasferimento GDPR più robusto per i gruppi multinazionali perché:

  • Non sono specifiche di una giurisdizione — una volta approvate, coprono i trasferimenti verso tutte le entità del gruppo a livello mondiale (non solo negli USA)
  • Sopravvivono all'invalidazione delle decisioni di adeguatezza — le NVI rappresentano l'impegno autonomo del gruppo a garantire una protezione adeguata, senza dipendere dal quadro giuridico di un paese terzo
  • Offrono una maggiore opponibilità ai terzi rispetto alle CCS

Tempi e Costi di Approvazione delle NVI

L'approvazione delle NVI è un processo lungo e dispendioso in termini di risorse:

  • Identificazione dell'autorità di controllo capofila: 1–3 mesi per individuare l'autorità di vigilanza competente
  • Presentazione della domanda: 3–6 mesi per predisporre la documentazione NVI (NVI del titolare o NVI del responsabile del trattamento) secondo i modelli WP256 (NVI per titolari) e WP257 (NVI per responsabili) dell'EDPB
  • Esame da parte dell'autorità di controllo e procedura dell'articolo 60: 12–24 mesi dalla presentazione all'approvazione
  • Costo: tra 500.000 e 2 milioni di euro in onorari legali esterni e risorse interne di compliance per grandi gruppi multinazionali

Al 1° gennaio 2026, il registro NVI dell'EDPB elenca 148 NVI del titolare approvate e 79 NVI del responsabile approvate, prevalentemente per grandi aziende tecnologiche, istituti finanziari e gruppi industriali. Le NVI non sono praticabili per le imprese di medie dimensioni o per quelle che prevedono significative operazioni di fusione e acquisizione (ogni acquisizione di un'entità priva di NVI richiede una procedura di modifica delle NVI esistenti).

Decisioni di Adeguatezza oltre gli USA: La Mappa Mondiale dei Trasferimenti

La Commissione europea ha adottato decisioni di adeguatezza per 15 paesi/territori ai sensi dell'articolo 45 del GDPR, aprendo percorsi di trasferimento senza necessità di CCS. Queste decisioni differiscono significativamente per portata e solidità giuridica:

Paese/TerritorioDecisione di adeguatezzaAmbitoStato giuridico (marzo 2026)Rischi principali
Regno UnitoC(2021) 4800 (giugno 2021)Generale (art. 45 GDPR)Valida; in riesame di scadenza a giugno 2025 — prorogata fino a giugno 2027Divergenza del diritto britannico della sorveglianza post-Brexit; possibile impugnazione dinanzi alla CGUE
SvizzeraC(2000) 3503Generale (quadro della Direttiva 95/46/CE)Pre-GDPR; la Commissione ha avviato una valutazione di aggiornamento nel 2022; rimane operativaVintage pre-GDPR; incertezza giuridica sugli standard dell'era GDPR
GiapponeC(2019) 61Generale (art. 45 GDPR)Valida; in riesame quadriennaleNorme supplementari richieste; analisi dei divari APPI-GDPR necessaria
Corea del SudC(2021) 6065Generale (art. 45 GDPR)ValidaLe modifiche al PIPA potrebbero richiedere una rivalutazione
Canada (PIPEDA)2002/2/ECSolo organizzazioni commercialiPre-GDPR; revisione della Commissione avviata nel 2023; riforma CPPA pendenteLa sostituzione della PIPEDA (CPPA) potrebbe incidere sulla copertura dell'adeguatezza
IsraeleC(2011) 332GeneralePre-GDPR; in fase di rivalutazioneVintage pre-GDPR; questioni sulla legislazione israeliana in materia di sorveglianza
Nuova ZelandaC(2013) 2896GeneraleIn riesame a seguito delle modifiche al Privacy Act 2020Generalmente solida
ArgentinaC(2003) 1731GeneralePre-GDPR; in fase di revisione e modernizzazioneVintage pre-GDPR
USA (solo DPF)C(2023) 4745Solo organizzazioni certificate DPFVedi sopra — contenzioso pendenteImpugnazione dinanzi alla CGUE; efficacia del DPRC

Per le organizzazioni che progettano la propria architettura di trasferimento, la combinazione Giappone (adeguatezza) + Regno Unito (adeguatezza) + CCS UE per le destinazioni non adeguate offre la copertura più ampia con il minor onere di conformità quotidiana.

Valutazioni d'Impatto del Trasferimento: Metodologia e Documentazione

Le Aspettative Regolamentari

L'attività di enforcement delle autorità di controllo successiva a Schrems II ha trasformato la documentazione della TIA in un obiettivo standard degli audit. La Commissione irlandese per la protezione dei dati (DPC), nelle sue azioni esecutive contro Meta (dicembre 2022, sanzione di 390 milioni di euro; e la decisione di trasferimento nel caso Meta Platforms Ireland, maggio 2023, sanzione di 1,2 miliardi di euro — la più alta sanzione GDPR ad oggi) ha esaminato specificamente l'adeguatezza della TIA di Meta per i trasferimenti verso gli USA. La DPC ha rilevato che il ricorso di Meta alle CCS senza adeguate misure supplementari, unitamente a una documentazione carente della TIA, giustificava la sanzione e l'ordine di sospensione.

La CNIL francese, il DSK tedesco e l'AP olandese hanno ciascuno pubblicato linee guida sulla TIA che, pur coerenti con le Raccomandazioni 01/2020 dell'EDPB, enfatizzano fattori specifici di ciascuna giurisdizione: l'azione esecutiva francese si è concentrata sui trasferimenti verso i provider cloud; quella tedesca sui responsabili del trattamento di dati HR; quella olandese sui flussi transfrontalieri di dati sanitari.

Standard Minimi di Documentazione della TIA

Un documento TIA deve contenere almeno:

  1. Estratto della mappa dei trasferimenti: categorie di dati, interessati, finalità, base giuridica del trattamento, paese di destinazione, identità del destinatario
  2. Meccanismo di trasferimento: modulo CCS applicabile, NVI o decisione di adeguatezza (con citazione della Decisione della Commissione)
  3. Analisi giuridica del paese terzo: valutazione del quadro normativo in materia di sorveglianza, proporzionalità e controllo giurisdizionale — con riferimento alle raccomandazioni specifiche per paese dell'EDPB ove disponibili
  4. Misure supplementari adottate: tecniche (con descrizione), contrattuali (con riferimento alle clausole CCS), organizzative
  5. Conclusione: se le misure garantiscono una protezione effettiva equivalente agli standard del GDPR
  6. Data di revisione: le TIA devono essere riesaminate annualmente e in caso di qualsiasi modifica sostanziale del meccanismo di trasferimento o del quadro giuridico del paese di destinazione
  7. Approvazione: approvazione del DPO e del responsabile legale, con rendicontazione al consiglio di amministrazione per i trasferimenti ad alto rischio

Pianificazione di Emergenza: Cosa Accade se il DPF Cade Ancora

Il Manuale Schrems I/II

Le organizzazioni che hanno mantenuto la continuità operativa dopo Schrems I (2015) e Schrems II (2020) condividono una caratteristica comune: avevano sottoscritto CCS con tutti i responsabili del trattamento statunitensi prima dell'invalidazione e mantenevano TIA aggiornate. Quelle che si erano affidate esclusivamente al Privacy Shield o all'EU-US Privacy Shield senza avere predisposto CCS di riserva si sono trovate di fronte a un'immediata interruzione operativa — trasferimenti tecnicamente illeciti nel periodo tra l'invalidazione e l'implementazione delle CCS.

La sentenza della CGUE nel caso Schrems II è stata pronunciata il 16 luglio 2020, senza alcun periodo transitorio. Le autorità di vigilanza hanno annunciato che non avrebbero proceduto all'enforcement immediato considerati i tempi di implementazione necessari, ma i trasferimenti in corso senza un meccanismo valido sono rimasti tecnicamente illeciti. Uno scenario analogo a seguito di un'invalidazione del DPF produrrebbe presumibilmente la stessa postura regolamentare — tolleranza delle autorità di vigilanza per un breve periodo transitorio, seguita da misure esecutive nei confronti delle organizzazioni impreparate.

Quadro di Emergenza

Azioni immediate (entro 90 giorni dalla sentenza di invalidazione del DPF):

  1. Sottoscrivere CCS Modulo 2 con tutti i rapporti con responsabili del trattamento statunitensi che fanno attualmente affidamento esclusivamente sulla certificazione DPF. Le CCS possono essere sottoscritte fin d'ora come livello di protezione aggiuntivo accanto al DPF — la doppia copertura è giuridicamente ammissibile e raccomandata.

  2. Aggiornare le TIA per i trasferimenti verso gli USA per riflettere il panorama post-invalidazione: il meccanismo del DPRC non sarebbe più disponibile, l'EO 14086 non costituirebbe più il quadro operativo di ricorso e l'analisi delle misure supplementari dovrebbe prescindere dalle garanzie del DPF.

  3. Implementare misure tecniche supplementari per le categorie di trasferimento ad alto rischio (dati di categorie particolari ai sensi dell'articolo 9; dati di minori; dati soggetti a elevata attenzione delle autorità di protezione dei dati): cifratura con chiavi gestite nell'UE, in modo che anche in caso di accesso imposto dalla legislazione statunitense i dati rimangano inintelligibili.

  4. Valutare le opportunità di minimizzazione dei dati: per i trasferimenti non essenziali dal punto di vista operativo, sospendere il trasferimento o pseudonimizzare prima del trasferimento. Il volume del trasferimento determina il profilo di rischio.

  5. Informare il consiglio di amministrazione: l'esposizione ai sensi dell'articolo 83(4) del GDPR (fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per violazioni procedurali) e dell'articolo 83(5) (fino a 20 milioni di euro o il 4% per violazioni sostanziali, inclusi i trasferimenti illeciti) richiede consapevolezza a livello di consiglio circa la postura di emergenza.

Ristrutturazione a medio termine (6–18 mesi):

  1. Valutare la residenza dei dati nell'UE: per le categorie di dati con il profilo di rischio più elevato, verificare se l'infrastruttura cloud con sede nell'UE (AWS EU, Azure EU, Google Cloud EU) con impegni contrattuali di residenza dei dati elimina completamente il trasferimento. Un trasferimento non si verifica se i dati non lasciano mai il SEE.

  2. Valutare la presentazione di una domanda di NVI: per i gruppi con flussi di dati transatlantici continuativi tra più entità del gruppo, i tempi di approvazione delle NVI (18–24 mesi) dovrebbero essere avviati ora, non dopo l'invalidazione.

Analisi Comparativa dei Meccanismi di Trasferimento

MeccanismoBase giuridica (GDPR)CoperturaRobustezza giuridicaOnere operativoPiù adatto per
Decisione di adeguatezza (DPF)Art. 45Solo organizzazioni statunitensi certificate DPFMedia — impugnazione CGUE pendenteBasso (nessuna CCS richiesta)Provider SaaS cloud statunitensi con certificazione DPF
Decisione di adeguatezza (UK, Giappone, ecc.)Art. 45Trasferimenti generali verso paesi adeguatiElevata (UK in revisione)Molto bassoTrasferimenti verso UK, Giappone, Corea del Sud
CCS (Modulo 2)Art. 46(2)(c)Qualsiasi paese terzo; tutte le categorie di datiElevata se correttamente implementate con TIAMedio (TIA + misure supplementari)Rapporti con responsabili del trattamento statunitensi; trasferimenti extra-DPF
NVIArt. 46(2)(b), 47Solo trasferimenti infragruppoMolto elevata — approvate dall'autorità di controlloMolto alto (18-24 mesi, 500k€+)Grandi gruppi multinazionali con frequenti trasferimenti infragruppo
Deroghe (art. 49)Art. 49Caso per caso; non ripetitiviBassa — limitata a circostanze eccezionaliAlto (giustificazione caso per caso)Trasferimenti occasionali (dati di contenzioso, emergenze mediche)
Consenso esplicito art. 49Art. 49(1)(a)Qualsiasi trasferimento con consenso informatoBassa — il consenso può essere revocatoAlto (meccanismo di consenso conforme al GDPR)Dati dei consumatori con genuina libertà di scelta dell'interessato

Indicazioni Pratiche per DPO, CLO e Consulenti Legali in Materia di Privacy

  1. Non fate affidamento esclusivamente sul DPF per i trasferimenti verso gli USA operativamente critici. Sottoscrivete ora CCS Modulo 2 con tutti i responsabili del trattamento statunitensi, in parallelo al DPF. Il costo della doppia copertura è amministrativo; il costo di una sospensione imprevista dei trasferimenti a seguito di un'invalidazione della CGUE è operativo. La sanzione di 1,2 miliardi di euro inflitta a Meta per trasferimenti illeciti è il parametro di riferimento per ciò che i regolatori considerano una sanzione proporzionata nei confronti di un responsabile principale che non ha implementato adeguati meccanismi di riserva.

  2. Trattate la vostra TIA come un documento vivente, non come una valutazione una tantum. L'attività di enforcement dei regolatori ha costantemente rilevato che le organizzazioni conducevano TIA al momento della conclusione del contratto ma omettevano di aggiornarle in caso di cambiamenti nella legislazione statunitense in materia di sorveglianza o nel meccanismo di trasferimento stesso. Le Raccomandazioni 01/2020 dell'EDPB richiedono espressamente revisioni periodiche. Le revisioni annuali delle TIA, attivate da modifiche sostanziali nella legislazione del paese di destinazione o nelle categorie di dati trasferiti, rappresentano lo standard minimo. Integrate il ciclo di revisione nel vostro calendario di conformità al GDPR.

  3. Mappate il vostro portafoglio di provider cloud e SaaS statunitensi rispetto allo stato di certificazione DPF. L'elenco delle certificazioni DPF (disponibile su dataprivacyframework.gov) è il riferimento operativo. Le organizzazioni scoprono regolarmente che responsabili del trattamento di secondo livello utilizzati dai principali provider SaaS non sono certificati DPF. Lo stato di certificazione DPF dei sub-responsabili deve essere verificato attraverso l'elenco dei sub-responsabili del responsabile principale e confermato nel registro delle certificazioni. La mancanza di copertura dei sub-responsabili è un rilievo frequente in sede di audit.

  4. Per le categorie di dati ad alto rischio, la cifratura con chiavi controllate nell'UE è la misura supplementare più affidabile. Le misure tecniche supplementari che impediscono l'accesso intelligibile anche in caso di ordine governativo ai sensi della Sezione 702 della FISA — specificamente la cifratura end-to-end con chiavi di decifratura detenute nell'UE e non accessibili al responsabile del trattamento statunitense — sono state avallate dall'EDPB e dalle autorità nazionali di protezione dei dati come misure efficaci per colmare il divario di adeguatezza. Questa architettura è disponibile presso i principali provider cloud (Google CMEK, AWS KMS con gestione delle chiavi nell'UE, Chiavi gestite dal cliente di Azure) e deve essere valutata rispetto all'onere operativo per le categorie di dati ad alta sensibilità.

  5. Avviate ora la preparazione delle NVI se il vostro gruppo conta più di tre entità al di fuori del SEE. L'approvazione delle NVI richiede 18–24 mesi dalla presentazione. Un'organizzazione che avvia oggi la preparazione delle NVI disporrà di un meccanismo approvato prima dell'attesa sentenza della CGUE su La Quadrature du Net (fine 2026 / inizio 2027). Un'organizzazione che attende un'invalidazione si troverà di fronte a un periodo di 2 anni tra la sentenza e l'approvazione delle NVI — nel corso del quale tutti i trasferimenti infragruppo faranno affidamento su CCS e TIA sotto un livello di scrutinio accresciuto.

Enforcement delle Autorità di Controllo: Il Panorama del Rischio Regolamentare

Decisioni di Enforcement Fondamentali in Materia di Trasferimenti di Dati

Il panorama dell'enforcement in materia di trasferimenti internazionali di dati è stato definito da una serie di decisioni che stabiliscono sia la volontà dei regolatori di agire sia l'esposizione pratica alle sanzioni.

Meta Platforms Ireland — DPC irlandese, maggio 2023 (1,2 miliardi di euro). La decisione della Commissione irlandese per la protezione dei dati nei confronti di Meta Platforms Ireland Limited ha inflitto la sanzione GDPR più elevata ad oggi — 1,2 miliardi di euro — per i trasferimenti di dati degli utenti Facebook dell'UE verso gli USA ai sensi delle CCS senza adeguate misure supplementari. La DPC ha rilevato che la TIA di Meta era carente in quanto non teneva conto dell'esposizione alla sorveglianza di massa ai sensi della Sezione 702 della FISA applicabile ai dati trasferiti, e che le CCS da sole non garantivano una protezione adeguata. La DPC ha altresì ordinato la sospensione dei trasferimenti futuri e la cancellazione dei dati trasferiti illecitamente. La decisione, adottata nell'ambito della procedura di risoluzione vincolante delle controversie di cui all'articolo 65 del GDPR (a seguito della revisione da parte dell'EDPB della bozza di decisione originale della DPC), è stata impugnata dinanzi all'High Court irlandese ed è tuttora pendente nel primo trimestre del 2026.

WhatsApp Ireland — DPC irlandese, settembre 2021 (225 milioni di euro). Anch'essa relativa al servizio WhatsApp di Meta, questa decisione si è concentrata principalmente sugli obblighi di trasparenza ma ha incluso rilievi sui trasferimenti transfrontalieri verso la società madre statunitense di WhatsApp.

TikTok — Garante italiano, varie decisioni 2021–2024. Il Garante per la protezione dei dati personali ha inflitto multiple sanzioni alle operazioni europee di TikTok per i trasferimenti di dati degli utenti dell'UE verso la Cina, dove il PIPL (legge cinese sulla protezione delle informazioni personali, in vigore dal novembre 2021) fornisce un quadro giuridico che l'EDPB e le autorità nazionali di protezione dei dati hanno valutato come non equivalente agli standard del GDPR. La Cina non ha una decisione di adeguatezza dell'UE. Le CCS di TikTok per i trasferimenti verso la Cina e l'adeguatezza della sua TIA rispetto ai rischi specifici di accesso governativo in Cina (in particolare ai sensi dell'articolo 7 della Legge nazionale sull'intelligence cinese, che obbliga le organizzazioni a «sostenere, assistere e cooperare alle attività di intelligence nazionale»), sono oggetto di scrutinio continuato.

SRB v Advocate General (CGUE, dicembre 2023, C-337/21). La sentenza della CGUE ha confermato che le restrizioni ai trasferimenti del Capitolo V del GDPR si applicano alle istituzioni dell'UE (trasferimenti all'interno del SEE non coperti dall'articolo 3 del GDPR) e ha chiarito l'interazione tra gli strumenti di trasferimento dell'articolo 46 e il trattamento da parte di autorità pubbliche. Pur non riguardando direttamente i trasferimenti verso gli USA, la sentenza ha confermato l'approccio estensivo della CGUE al concetto di «trasferimento» del Capitolo V — rilevante per le organizzazioni che valutano se le proprie architetture di trattamento dei dati costituiscano un «trasferimento» che attiva gli obblighi del Capitolo V.

Tendenze delle Indagini delle Autorità di Protezione dei Dati nel 2025–2026

Diverse autorità nazionali di protezione dei dati hanno annunciato o stanno conducendo indagini attive sulle pratiche di trasferimento dei dati nel 2025–2026:

  • DSK tedesco (Conferenza delle autorità indipendenti di vigilanza sulla protezione dei dati): indagine congiunta sull'utilizzo da parte di aziende tedesche di strumenti di analisi cloud statunitensi (Google Analytics, Adobe Analytics, Salesforce) per i dati dei visitatori di siti web. I documenti di orientamento del DSK hanno stabilito che gli indirizzi IP sono dati personali e che la trasmissione di dati di visitatori dell'UE a server statunitensi tramite script di analisi costituisce un trasferimento che richiede un meccanismo valido ai sensi del Capitolo V.

  • CNIL francese: indagine in corso sui banner di consenso ai cookie e sui trasferimenti di dati innescati da script di tracciamento di terze parti — l'intersezione tra la conformità alla Direttiva ePrivacy e il Capitolo V del GDPR è un focus attivo dell'enforcement.

  • AP olandese: indagine sui trasferimenti transfrontalieri nel settore sanitario a seguito di un incidente del 2024 che ha coinvolto il trasferimento di dati di pazienti olandesi verso un fornitore statunitense di intelligenza artificiale medica ai sensi delle CCS, dove la TIA non aveva valutato l'impatto del mancato ambito di applicazione della HIPAA al trattamento specifico dei dati in questione.

Il pattern è chiaro: le autorità di protezione dei dati stanno andando oltre la fase di sanzionare le grandi piattaforme e stanno rivolgendo l'enforcement verso aziende di medie dimensioni nei settori regolamentati (sanità, servizi finanziari, risorse umane) che hanno fatto affidamento su CCS standard senza condurre TIA specifiche.

Conclusione

La sentenza della CGUE nel caso Schrems II ha sancito un principio giuridico che il DPF non ha risolto: il diritto europeo dei diritti fondamentali richiede che i dati personali dell'UE esportati verso gli USA godano di una protezione «sostanzialmente equivalente» agli standard del GDPR, incluso un ricorso giurisdizionale effettivo contro la sorveglianza governativa. Se il DPRC soddisfi tale standard lo stabilirà la CGUE, non la valutazione di adeguatezza della Commissione. La strategia giuridica prudente consiste nel trattare il DPF come un meccanismo di facilitazione per il periodo in cui rimane valido, mantenendo al contempo un'infrastruttura solida di CCS e TIA come base permanente.

Le organizzazioni che si troveranno nella posizione migliore — sotto il profilo della conformità normativa, della continuità operativa e della gestione del rischio contenzioso — sono quelle che avranno implementato le CCS nell'ambito di tutti i loro rapporti con responsabili del trattamento, mantenuto aggiornata la documentazione della TIA, applicato misure tecniche supplementari per i dati sensibili e avviato la preparazione delle NVI per i trasferimenti infragruppo. Non si tratta di una scelta tra diversi oneri di conformità, ma di una decisione di gestione del rischio con un'esposizione al ribasso direttamente quantificabile.

Avvertenza legale: Il presente articolo è fornito a scopo puramente informativo e non costituisce consulenza legale. Le leggi e i regolamenti descritti sono complessi, soggetti a modifiche e variano in base ai fatti e alle circostanze specifiche. Le posizioni di enforcement del GDPR, le sentenze della CGUE e le decisioni di adeguatezza della Commissione ivi richiamate sono soggette a sviluppi giuridici in corso. Nulla nel presente articolo deve essere considerato sostitutivo del parere di avvocati qualificati specializzati in protezione dei dati dell'UE e conformità ai trasferimenti transfrontalieri di dati. Morvantine e i suoi collaboratori declinano ogni responsabilità per le azioni intraprese sulla base delle informazioni qui contenute.

Contatta il nostro team legale

Need expert advice on this topic?

Our team at Morvantine specializes in exactly these issues. Get in touch for a consultation.

Get in Touch