Lo más seguro es .. archivos fueras del DOCUMENT_ROOT y los accedes desde PHP abriendolos con ruta absoluta:

Por ejemplo ..
/var/www/tusitio/html_public <- aquí apuntaría tu Document_root
/var/www/tusitio/datos <- carpeta/directorio fuera de ^^

(o si es windows: c:\nose .. etc).

Las llamadas a esos archivos pasarian por scripts tuyos en PHP .. tipo "lanzadores" .. Los cuales pueden (podrían) validar incluso al usuario que pretende bajar ese archivo y entregaría la ruta absoluta hacia el archivo para descargarlo.

Si usas rutas absolutas completas PHP no tendrá problemas en accederlas (siempre y cuando no tengas algúna limitación tipo: open_base_dir (php.ini) o similares ...)

Un saludo,