Il trasferimento extra-UE di dati personali è regolato dagli articoli 44-50 del GDPR. Per "trasferimento" si intende qualsiasi invio di dati a un soggetto situato fuori UE/SEE: server, fornitori, sub-fornitori.
Per l'IA è un tema enorme: la stragrande maggioranza dei modelli proprietari (OpenAI, Anthropic, Google, Meta) ha infrastruttura negli USA. Ogni volta che mandi un prompt, stai facendo un trasferimento extra-UE.
Gli strumenti che il GDPR ti dà:
- Decisione di adeguatezza: la Commissione UE dichiara che un paese ha protezione equivalente. USA → Data Privacy Framework (luglio 2023), valido ma sotto attacco legale (probabile Schrems III).
- Clausole contrattuali standard (SCC): contratti tipo approvati dalla Commissione. Da soli spesso non bastano.
- Norme vincolanti d'impresa (BCR): per gruppi multinazionali.
- Misure supplementari: cifratura, pseudonimizzazione, controlli di accesso. Da affiancare alle SCC.
Le sentenze Schrems I (2015) e Schrems II (2020) hanno invalidato i precedenti accordi USA-UE, costringendo a misure più severe. Il Data Privacy Framework attuale è la terza versione: regge per ora ma molti privacy lawyer scommettono cadrà anche questo.
Cosa fare in pratica: se tratti dati sensibili (sanità, minori, dati giudiziari) considera seriamente alternative europee. Mistral è francese, Aleph Alpha tedesca. Per dati normali, Azure OpenAI con regione UE + DPA + DPIA è l'opzione più sicura giuridicamente.