A seguito di una consultazione pubblica, il Comitato europeo per la protezione dei dati (EDPB) ha adottato la versione finale delle linee guida per il trasferimento di dati alle autorità di Paesi terzi. Nelle linee guida, l'EDPB esamina più da vicino l'articolo 48 del GDPR e chiarisce come le organizzazioni possano valutare al meglio le condizioni in cui possono legittimamente rispondere alle richieste di trasferimento di dati personali da parte di autorità di Paesi terzi (cioè Paesi non appartenenti all'UE). Le linee guida sono particolarmente rilevanti per le organizzazioni che operano a livello internazionale.
Ambito di applicazione delle linee guida sull'articolo 48 del GDPR
L'articolo 48 del GDPR disciplina le condizioni in cui un responsabile del trattamento o un incaricato del trattamento nell'UE può essere obbligato a divulgare dati personali su ordine di un'autorità di un Paese terzo. Messaggio chiave: tali ordini sono legalmente efficaci solo se basati su un accordo internazionale, come un accordo bilaterale o multilaterale di assistenza giudiziaria. In assenza di tale accordo, le sentenze o le decisioni amministrative di Paesi terzi non sono generalmente applicabili all'interno dell'UE.
Le linee guida EDPB 02/2024, finalizzate il 4 giugno 2025, intendono chiarire il significato pratico dell'articolo 48. Esse intendono aiutare i responsabili dell'UE a rispondere alle richieste dei Paesi terzi in conformità alla legge. Si concentrano in particolare su:
- Richieste dirette di autorità di Paesi terzi a società private dell'UE.
- Il rapporto dell'articolo 48 con le regole generali per i trasferimenti internazionali di dati di cui al capo V del GDPR.
- Raccomandazioni per la gestione interna di tali richieste.
Non sono coperti i casi in cui, ad esempio, una società madre in un paese terzo richiede i dati alla sua filiale nell'UE per soddisfare un ordine ufficiale, sebbene anche questo costituisca un trasferimento internazionale di dati. Sebbene questi casi non siano direttamente coperti dall'articolo 48, sono ugualmente soggetti ai rigorosi requisiti del capo V del GDPR.
Meccanismo di verifica in due fasi ("two-step test") per le richieste dei paesi terzi
Le linee guida dell'EDPB prevedono un test in due fasi per la valutazione delle richieste di divulgazione di dati personali provenienti da Paesi terzi, al fine di soddisfare sistematicamente i requisiti del GDPR. Questo cosiddetto "test in due fasi" serve come strumento pratico per la categorizzazione legale strutturata di tali richieste:
Fase 1: Esame della base giuridica ai sensi dell'articolo 6 del GDPR
In primo luogo, è necessario chiarire se esiste una base giuridica per il trattamento dei dati personali nel caso specifico. Una semplice richiesta o un ordine ufficiale da parte di un paese terzo non è sufficiente. Deve piuttosto esistere una base giuridica ai sensi dell'articolo 6, paragrafo 1, del GDPR, ad esempio:
- Un obbligo legale (art. 6 par. 1 lett. c GDPR) derivante da un accordo internazionale applicabile.
- Un compito di interesse pubblico (art. 6 par. 1 lett. e GDPR), se la normativa nazionale o dell'Unione consente tale cooperazione.
- In rari casi eccezionali, un interesse legittimo (art. 6 par. 1 lett. f GDPR), in base al quale deve essere effettuata una rigorosa ponderazione degli interessi.
Fase 2: esistenza di un meccanismo di trasferimento ammissibile ai sensi del capitolo V del GDPR
Se il trattamento è autorizzato ai sensi dell'articolo 6, è necessario un trasferimento supplementare in conformità alle disposizioni del capitolo V. Le basi possibili sono
- Una decisione di adeguatezza della Commissione UE (art. 45 GDPR), che riconosce un livello equivalente di protezione dei dati nel Paese terzo.
- Garanzie adeguate, in particolare attraverso clausole standard di protezione dei dati, norme vincolanti d'impresa (BCR) o altri strumenti in conformità all'articolo 46 del GDPR.
- In casi eccezionali, il consenso o altre esenzioni ai sensi dell'articolo 49 del GDPR, che devono tuttavia essere interpretate in modo restrittivo.
Se manca la base giuridica ai sensi dell'articolo 6 del GDPR o un meccanismo di trasferimento ammissibile ai sensi del capitolo V, la divulgazione dei dati non è consentita. Ciò è illustrato anche dal diagramma schematico riportato nell'allegato alle linee guida (pag. 13), che prevede un'interrogazione a tappe. È quindi consigliabile che le aziende stabiliscano procedure interne che mappino e documentino questo meccanismo a due fasi. In caso di emergenza, è possibile dimostrare chiaramente come è stata effettuata la valutazione della protezione dei dati.
Quali sono le novità della versione 2.0 delle linee guida sull'articolo 48 del GDPR?
La versione finale 2.0 tiene conto del feedback ricevuto dalla consultazione pubblica. In particolare, fornisce i seguenti chiarimenti:
- Gli incaricati del trattamento devono informare immediatamente il responsabile del trattamento se ricevono una richiesta da un paese terzo. Eccezione: la legge glielo vieta.
- Le richieste di dati infragruppo provenienti da un paese terzo (ad esempio tramite le società madri) non sono coperte dall'articolo 48, ma dalle norme generali del Capitolo V.
- Gli interessi legittimi (art. 6 par. 1 lett. f) possono essere utilizzati come base giuridica solo in casi eccezionali. In particolare, non per la conservazione preventiva a fini investigativi.
Inoltre, l'EDPB chiarisce che il termine "sentenza" o "decisione" ai sensi dell'articolo 48 del GDPR non può essere valutato sulla base di criteri formali o concettuali del diritto di un paese terzo. L'unico fattore decisivo è se il processo sottostante è un provvedimento ufficiale e sovrano emesso da un'autorità straniera e destinato a creare l'obbligo di trasferire i dati personali a un responsabile del trattamento o a un incaricato del trattamento nell'UE. Il fattore decisivo in questo caso non è il modo in cui il provvedimento è etichettato o qualificato nel Paese di origine, ma piuttosto la sua natura giuridicamente vincolante ed esecutiva e il suo obiettivo di raccolta dei dati. Il meccanismo di protezione di cui all'articolo 48 del GDPR si applica quindi anche se un ordine ufficiale non è intitolato come "sentenza" o "decisione", ad esempio, ma in realtà ha lo scopo di trasferire obbligatoriamente i dati.
I trattati internazionali come perno
Gli accordi internazionali costituiscono il collegamento centrale tra il regolamento europeo sulla protezione dei dati e le richieste legali provenienti da Paesi terzi. L'articolo 48 del GDPR stabilisce chiaramente che l'esecutività di sentenze o atti amministrativi stranieri che richiedono la divulgazione di dati personali da parte di organismi con sede nell'UE è possibile solo se esiste un accordo internazionale corrispondente. In assenza di tale accordo, non esiste né una base giuridica per il trattamento ai sensi dell'articolo 6 del GDPR né un fattore di collegamento ai sensi della legge sul trasferimento ai sensi del capitolo V del GDPR.
Nelle sue linee guida, l'EDPB sottolinea che tali accordi non devono esistere solo formalmente, ma devono anche prevedere specifiche garanzie di protezione dei dati in termini di contenuto. Queste includono disposizioni sulla limitazione delle finalità, la proporzionalità e la restrizione dell'ulteriore trattamento, nonché sistemi di controllo e di ricorso efficaci nel Paese terzo. L'accordo deve disciplinare esplicitamente in quali casi e a quali condizioni un ente privato dell'UE può trasferire dati personali direttamente a un ente statale estero.
Tale accordo può fungere da garanzia adeguata ai sensi dell'articolo 46, paragrafo 2, lettera a), del GDPR, a condizione che si tratti di uno "strumento giuridicamente vincolante ed esecutivo tra autorità pubbliche".
Le linee guida danno particolare risalto al Secondo protocollo aggiuntivo alla Convenzione sulla criminalità informatica (CETS n. 224). Sebbene non sia ancora in vigore al momento della pubblicazione, fornisce un esempio di come potrebbero essere strutturati i futuri accordi. Esso consente alle autorità dei Paesi terzi l'accesso diretto ai dati delle imprese europee a condizioni rigorose, ma stabilisce chiari limiti procedurali, sostanziali e procedurali.
Le aziende sono pertanto tenute a verificare l'esistenza di un accordo corrispondente, non solo formalmente applicabile, ma anche rilevante e sufficientemente specifico in termini di contenuto, prima di divulgare i dati alle autorità di Paesi terzi. Se necessario, devono consultare i ministeri nazionali competenti (ad esempio, il Ministero della Giustizia, il Ministero degli Interni o il Ministero degli Affari Esteri) o le autorità di controllo della protezione dei dati.
Classificazione e importanza dell'articolo 48 del GDPR per le aziende
Le linee guida sull'articolo 48 del GDPR sono di grande importanza e rilevanza per le aziende dell'Unione Europea. Non riguardano solo questioni giuridiche teoriche, ma hanno anche un impatto pratico diretto sulle pratiche di conformità delle aziende che operano in un ambiente internazionale. Il messaggio chiave è che le richieste di divulgazione di dati personali da parte di Paesi terzi non possono più essere soddisfatte in modo informale o pragmatico. È invece assolutamente necessario un approccio strutturato, documentato e giuridicamente solido.
Ciò deriva in particolare dal fatto che le linee guida dell'EDPB chiariscono in modo vincolante che anche gli ordini ufficiali provenienti da paesi terzi (ad esempio da autorità di polizia, di vigilanza o di sicurezza) non comportano automaticamente l'obbligo di divulgare i dati. Al contrario, ogni azienda deve verificare se esiste una base giuridica adeguata ai sensi dell'articolo 6 del GDPR e se sono soddisfatti i requisiti per un trasferimento legittimo dei dati a un paese terzo ai sensi del capitolo V del GDPR. Questa valutazione non deve essere effettuata solo formalmente, ma anche rigorosamente in termini di diritto sostanziale, in particolare per quanto riguarda il bilanciamento degli interessi, la proporzionalità e la minimizzazione dei dati richiesti dalle linee guida.
Suggerimento di lettura: Eseguire le valutazioni d'impatto dei trasferimenti in modo sicuro secondo le linee guida della CNIL.
Obblighi di agire per la pratica aziendale
Le aziende devono innanzitutto verificare se le loro linee guida sulla protezione dei dati, le direttive interne e i piani di risposta agli incidenti soddisfano i requisiti delle nuove linee guida. In particolare, occorre stabilire come vengono gestite le richieste di informazioni da parte delle autorità di Paesi terzi, chi è responsabile all'interno dell'azienda e quali criteri vengono utilizzati per la revisione. È consigliabile designare punti di contatto centrali (ad esempio, il responsabile della protezione dei dati o l'ufficio legale) e introdurre una procedura standardizzata per la gestione di tali richieste.
Inoltre, i dipendenti, in particolare quelli dei reparti Compliance, IT e Legale, devono essere formati sull'importanza dell'articolo 48 del GDPR e delle nuove linee guida. Solo sensibilizzando e fornendo una formazione regolare è possibile garantire che si evitino trasferimenti di dati errati o affrettati.
La situazione è particolarmente difficile per i gruppi aziendali internazionali. Spesso c'è una tensione tra le aspettative della casa madre (ad esempio negli Stati Uniti) e gli obblighi legali delle filiali europee. Ciò rende ancora più importante la creazione di linee guida a livello di gruppo che soddisfino i requisiti del GDPR e le realtà operative. In casi critici, può essere utile anche una consultazione preventiva con l'autorità di vigilanza competente.
Le aziende sono inoltre tenute a documentare ogni richiesta proveniente da Paesi terzi, a registrare per iscritto il processo di revisione e a fornire motivazioni comprensibili per il rifiuto o l'autorizzazione di una divulgazione. Questa documentazione è obbligatoria anche in termini di responsabilità ai sensi dell'articolo 5 (2) del GDPR.
Nel complesso, le linee guida chiariscono che la protezione dei dati personali in scenari transfrontalieri può essere garantita solo attraverso una compliance proattiva, processi legalmente conformi e un coordinamento internazionale.
Le linee guida finali chiariscono che le aziende dell'UE non possono più considerare le richieste di informazioni da parte di Paesi terzi solo come rischi di conformità. Al contrario, sono obbligate per legge a stabilire meccanismi di revisione strutturati e ad allineare i loro processi interni di conseguenza.
Fonte: Linee guida 02/2024 sull'articolo 48 del GDPR - Versione 2.0
Non sapete come valutare le richieste delle autorità di Paesi terzi in modo legalmente conforme o come organizzare i flussi internazionali di dati in conformità al GDPR? I nostri esperti di protezione dei dati vi supporteranno con consulenze personalizzate e implementazioni operative. Il nostro software offre anche Ailance strumenti integrati per la valutazione dei trasferimenti di dati, la documentazione automatizzata e la gestione delle Valutazioni d'Impatto del Trasferimento (TIA). Fissate direttamente una prima consulenza non vincolante!
Italian 
German 
English 
French