A seguito di una consultazione pubblica, il Comitato europeo per la protezione dei dati (EDPB) ha Consultazione la versione finale del Linee guida per il trasferimento di dati alle autorità di Paesi terzi. Nella sua Linee guida l'EDPB approfondisce il tema dell'articolo 48 GDPR e chiarisce come le organizzazioni possano valutare al meglio le condizioni in cui possono legittimamente rispondere a richieste di Trasmissione dati personali da parte di autorità di paesi terzi (cioè paesi non appartenenti all'UE). Il Linee guida sono particolarmente rilevanti per le imprese che operano a livello internazionale.
Ambito di applicazione delle linee guida sull'articolo 48 del GDPR
Articolo 48 GDPR regola le condizioni alle quali un responsabile del trattamento o un incaricato del trattamento nell'UE può essere obbligato a rispettare un obbligo di trattamento dei dati, Dati personali da divulgare per ordine di un'autorità di un Paese terzo. Messaggio chiave: tali ordini sono legalmente efficaci solo se basati su un accordo di diritto internazionale, come un accordo bilaterale o multilaterale di assistenza giudiziaria. In assenza di tale accordo, le sentenze o le decisioni amministrative di Paesi terzi non sono generalmente esecutive all'interno dell'UE.
Finalizzato il 4 giugno 2025 Linee guida 02/2024 dell'EDPB hanno lo scopo di chiarire il significato pratico dell'articolo 48. Esse intendono aiutare i responsabili dell'UE a rispondere alle richieste di paesi terzi in conformità con la legge. L'attenzione è rivolta in particolare a:
- Richieste dirette di autorità di Paesi terzi a società private dell'UE.
- Il rapporto dell'articolo 48 con le norme generali sui trasferimenti internazionali di dati di cui al capitolo V GDPR.
- Raccomandazioni per la gestione interna di tali richieste.
Non sono compresi i casi in cui, ad esempio, una società madre in un'azienda di Paese terzo richiede i dati alla sua filiale dell'UE per adempiere a un ordine ufficiale, sebbene anche questo costituisca un trasferimento internazionale di dati. Sebbene questi casi non siano direttamente coperti dall'articolo 48, sono ugualmente soggetti ai severi requisiti del Capitolo V. GDPR.
Meccanismo di verifica in due fasi ("two-step test") per le richieste dei paesi terzi
Il Linee guida dell'EDPB prevedono una valutazione in due fasi delle richieste di divulgazione di dati personali da parte di paesi terzi al fine di soddisfare i requisiti dell'EDPB. GDPR da soddisfare sistematicamente. Questo cosiddetto "test in due fasi" serve come strumento pratico per la categorizzazione legale strutturata di tali richieste:
Fase 1: Esame della base giuridica ai sensi dell'articolo 6 GDPR
Occorre innanzitutto chiarire se, nel caso specifico, esista una base giuridica per il Elaborazione di dati personali. Una semplice richiesta o un ordine ufficiale da parte di un paese terzo non è sufficiente. Deve piuttosto esistere una base giuridica ai sensi dell'articolo 6, paragrafo 1, del regolamento. GDPR essere dato, ad esempio:
- Un obbligo legale (art. 6, par. 1, lett. c)). GDPR) derivanti da un accordo internazionale applicabile.
- Un compito di interesse pubblico (art. 6, comma 1, lettera e)). GDPR) se le normative nazionali o dell'Unione consentono tale cooperazione.
- In rari casi eccezionali, un interesse legittimo (art. 6, par. 1, lett. f), è necessario per la tutela dei dati personali. GDPR), in cui deve essere effettuato un rigoroso bilanciamento degli interessi.
Fase 2: esistenza di un meccanismo di trasmissione autorizzato ai sensi del capitolo V GDPR
È il Elaborazione Articolo 6, è necessario un ulteriore trasferimento in conformità con le disposizioni del Capitolo V:
- A Decisione di appropriatezza della Commissione UE (art. 45 GDPR), che prevede un livello equivalente di protezione dei dati nella Paese terzo riconosce.
- Garanzie adeguatein particolare attraverso clausole standard di protezione dei dati, norme vincolanti d'impresa (BCR) o altri strumenti ai sensi dell'articolo 46 GDPR.
- In casi eccezionali anche un Consenso o altre esenzioni ai sensi dell'articolo 49 GDPRche, tuttavia, deve essere interpretato in modo restrittivo.
Se la base giuridica di cui all'articolo 6 GDPR o un meccanismo di trasferimento consentito ai sensi del Capitolo V, la divulgazione dei dati non è consentita. Ciò è illustrato anche dal diagramma schematico riportato nell'allegato al documento. Linee guida (p. 13), che prevede un'indagine a tappe. È quindi consigliabile che le aziende stabiliscano procedure interne che traccino e documentino questo meccanismo a due fasi. In caso di emergenza, è possibile dimostrare chiaramente come è stata effettuata la valutazione della protezione dei dati.
Quali sono le novità della versione 2.0 delle linee guida sull'articolo 48 del GDPR?
La versione finale 2.0 tiene conto del feedback del pubblico. Consultazione. In particolare, fornisce i seguenti chiarimenti:
- Gli incaricati del trattamento devono informare immediatamente il responsabile del trattamento se ricevono una richiesta da un paese terzo. Eccezione: la legge glielo vieta.
- Requisiti dei dati interni al Gruppo da un Paese terzo (ad esempio tramite società madri) non sono coperti dall'articolo 48, ma dalle norme generali del Capitolo V.
- Gli interessi legittimi (art. 6 par. 1 lett. f) possono essere utilizzati come base giuridica solo in casi eccezionali. In particolare, non per la conservazione preventiva a fini investigativi.
Inoltre, l'EDPB chiarisce che i termini "sentenza" o "decisione" ai sensi dell'articolo 48 GDPR non deve essere valutato sulla base di criteri formali o concettuali del diritto di un Paese terzo. L'unico fattore decisivo è se la transazione sottostante è un provvedimento ufficiale e sovrano emesso da un'autorità straniera che impone a un responsabile del trattamento o a un incaricato del trattamento nell'UE di adempiere a un obbligo di protezione dei dati. Trasmissione di dati personali. Il fattore decisivo in questo caso non è il modo in cui la misura è etichettata o qualificata nel Paese d'origine, ma piuttosto la sua natura giuridicamente vincolante ed esecutiva e il suo obiettivo di raccolta dei dati. Il meccanismo di protezione dell'articolo 48 GDPR Pertanto, ciò vale anche nel caso in cui un ordine ufficiale non sia intitolato, ad esempio, come "sentenza" o "decisione", ma abbia in realtà lo scopo di una divulgazione obbligatoria dei dati.
I trattati internazionali come perno
Gli accordi internazionali costituiscono il collegamento centrale tra l'ordinamento europeo in materia di protezione dei dati e le richieste legali dei paesi terzi. Articolo 48 GDPR stabilisce chiaramente che l'esecutività di sentenze o atti amministrativi stranieri che mirano alla divulgazione di dati personali da parte di organismi con sede nell'UE è possibile solo se esiste un accordo corrispondente di diritto internazionale. In assenza di tale accordo, non vi è alcuna base giuridica per l'esecuzione delle sentenze o degli atti amministrativi stranieri. Elaborazione in conformità all'articolo 6 GDPR nonché un fattore di collegamento ai sensi del diritto di trasferimento ai sensi del Capitolo V GDPR.
Nel suo Linee guida l'EDPB sottolinea che tali accordi non devono esistere solo formalmente, ma devono anche prevedere specifiche garanzie di protezione dei dati in termini di contenuto. Queste includono disposizioni su Stanziamento di fondiproporzionalità e limitazione dell'ulteriore trattamento, nonché sistemi di controllo e di ricorso efficaci nel paese terzo. L'accordo deve disciplinare esplicitamente in quali casi e a quali condizioni un soggetto privato nell'UE Dati personali direttamente a un'agenzia governativa straniera.
Tale accordo può essere considerato una garanzia adeguata ai sensi dell'articolo 46, paragrafo 2, lettera a). GDPR purché si tratti di uno "strumento giuridicamente vincolante ed esecutivo tra autorità pubbliche".
Nel Linee guida Il secondo Protocollo aggiuntivo alla Convenzione sulla criminalità informatica (CETS n. 224) è particolarmente importante. Sebbene non sia ancora in vigore al momento della pubblicazione, fornisce un esempio di come potrebbero essere strutturati i futuri accordi. Consente alle autorità dei Paesi terzi l'accesso diretto ai dati delle imprese europee a condizioni rigorose, ma stabilisce chiari limiti procedurali, sostanziali e procedurali.
Le aziende sono pertanto tenute a verificare l'esistenza di un accordo corrispondente che non sia solo formalmente applicabile, ma anche rilevante e sufficientemente specifico in termini di contenuto, prima di divulgare i dati alle autorità di Paesi terzi. Se necessario, devono consultare i ministeri nazionali competenti (ad esempio, il Ministero della Giustizia, il Ministero degli Interni o il Ministero degli Affari Esteri) o le autorità di controllo della protezione dei dati.
Classificazione e significato dell'articolo 48 del GDPR per le imprese
Il Linee guida all'articolo 48 GDPR sono di grande importanza e altamente rilevanti per le aziende dell'Unione Europea. Non riguardano solo questioni giuridiche teoriche, ma hanno anche un impatto pratico diretto sulle pratiche di conformità delle aziende che operano in un ambiente internazionale. Il messaggio chiave è che alle richieste di divulgazione di dati personali da parte di Paesi terzi non si può più rispondere in modo informale o pragmatico. È invece assolutamente necessario un approccio strutturato, documentato e giuridicamente solido.
Ciò deriva in particolare dal fatto che il Linee guida dell'EDPB dovrebbe chiarire in modo vincolante che anche gli ordini ufficiali provenienti da paesi terzi (ad esempio da autorità di polizia, di vigilanza o di sicurezza) non comportano automaticamente l'obbligo di divulgare i dati. Al contrario, ogni azienda deve verificare l'esistenza di una base giuridica adeguata ai sensi dell'articolo 6. GDPR e se esistono le condizioni per un trasferimento legittimo dei dati a un paese terzo in conformità al capitolo V GDPR sono soddisfatte. Questo esame non deve essere effettuato solo formalmente, ma anche rigorosamente in termini di diritto sostanziale, in particolare per quanto riguarda la Linee guida il necessario bilanciamento degli interessi, la proporzionalità e il Minimizzazione dei dati.
Suggerimento di lettura: Eseguire le valutazioni d'impatto dei trasferimenti in modo sicuro secondo le linee guida della CNIL.
Obblighi di agire per la pratica aziendale
Le aziende devono innanzitutto verificare se le loro linee guida sulla protezione dei dati, le direttive interne e i piani di risposta agli incidenti soddisfano i requisiti della nuova direttiva. Linee guida devono essere rispettati. In particolare, deve essere regolamentato il modo in cui vengono gestite le richieste delle autorità di Paesi terzi, chi è responsabile all'interno dell'azienda e quali criteri vengono utilizzati per la revisione. È consigliabile designare punti di contatto centrali (ad esempio, il responsabile della protezione dei dati o l'ufficio legale) e introdurre una procedura standardizzata per l'elaborazione di tali richieste.
Inoltre, i dipendenti, in particolare nei dipartimenti Conformità, Informatica e Diritto, sul significato dell'articolo 48 GDPR e il nuovo Linee guida essere addestrati. Solo sensibilizzando e fornendo una formazione regolare si può garantire che si eviti un trasferimento di dati errato o prematuro.
La situazione è particolarmente difficile per i gruppi di imprese organizzati a livello internazionale. Spesso c'è una tensione tra le aspettative della casa madre (ad esempio negli Stati Uniti) e gli obblighi legali delle filiali europee. Ciò rende ancora più importante la creazione di linee guida a livello di gruppo che soddisfino i requisiti della normativa europea. GDPR e le realtà operative. Nei casi critici, una consultazione preliminare con il responsabile Autorità di vigilanza hanno senso.
Le società sono inoltre tenute a documentare ogni richiesta proveniente da Paesi terzi, a registrare per iscritto il processo di revisione e a fornire motivazioni comprensibili per il rifiuto o l'autorizzazione di una divulgazione. Questo Documentazione è anche nel senso della responsabilità (Responsabilità etica) in conformità all'articolo 5, paragrafo 2 GDPR assolutamente necessario.
Nel complesso, il Linee guidache la protezione dei dati personali in scenari transfrontalieri può essere raggiunta solo attraverso un approccio proattivo. ConformitàSi possono garantire processi conformi alla legge e un coordinamento internazionale.
Con la finale Linee guida è chiaro che le aziende dell'UE non possono più considerare le richieste di informazioni da parte di Paesi terzi solo come rischi di conformità. Al contrario, sono obbligate per legge a stabilire meccanismi di revisione strutturati e ad allineare i loro processi interni di conseguenza.
Fonte: Linee guida 02/2024 sull'articolo 48 del GDPR - Versione 2.0
Non sapete come valutare le richieste delle autorità di Paesi terzi in modo legalmente conforme o come organizzare i flussi internazionali di dati in conformità al GDPR? I nostri esperti di protezione dei dati vi supporteranno con consulenze personalizzate e implementazioni operative. Il nostro software offre anche Ailance strumenti integrati per la valutazione delle trasmissioni di dati, strumenti automatizzati di Documentazione e per la gestione delle Valutazioni d'Impatto del Trasferimento (TIA). Fissate direttamente una prima consulenza non vincolante!
German 
English 
Italian 
French