GDPR e trasferimento dati extra UE: come usare lecitamente i servizi degli OTT americani?

Dall’entrata in vigore del GDPR e dal momento in cui le Autorità hanno iniziato a verificare l’applicazione dei suoi principi, si discute se sia effettivamente lecito, e se sì, entro che limiti e condizioni, avvalersi di servizi di provider stranieri (da Google a Microsoft, passando per Amazon, IBM, Oracle e Salesforce ad esempio) e ciò indifferentemente dal fatto che questi trasferiscano dati personali negli Stati Uniti o che i dati elaborati tramite i provider siano conservati sul territorio dell’Unione Europea.

A seguito di alcuni provvedimenti del Garanti europei riguardanti i servizi di Google, sembra che l’utilizzo dei servizi degli OTT sia formalmente illecito: ma è effettivamente così? E nel caso in cui ciò non sia vero, qual è effettivamente il panorama legale attuale e quali accorgimenti possiamo adottare per usarli legittimamente?