Pubblicate le Linee guida dell’EDPB su indicazioni operative per titolari e responsabili in caso di richieste provenienti da Paesi terzi

Il 4 giugno 2025, il Comitato europeo per la protezione dei dati (di seguito “EDPB“) ha adottato la versione definitiva delle Linee guida 02/2024 sull’articolo 48 del GDPR (di seguito, le “Linee Guida“). Le Linee Guida perseguono lo scopo di chiarire la portata dell’articolo 48 del GDPR – il quale disciplina i limiti al riconoscimento e all’esecuzione di decisioni giudiziarie o amministrative di Paesi terzi che impongano il trasferimento di dati personali – al fine di fornire meccanismi pratici alle imprese chiamate a rispondere a richieste di trasferimento o divulgazione di dati personali provenienti da autorità di Paesi terzi.

Ambito di applicazione dell’articolo 48 del GDPR

Ai sensi dell’articolo 48 del GDPR “Le sentenze di un tribunale e le decisioni di un’autorità amministrativa di un paese terzo che impongano a un responsabile del trattamento o a un incaricato del trattamento di trasferire o divulgare dati personali possono essere riconosciute o rese esecutive in qualsiasi modo solo se basate su un accordo internazionale, come un trattato di mutua assistenza giudiziaria, in vigore tra il paese terzo richiedente e l’Unione o uno Stato membro, fatti salvi gli altri motivi di trasferimento ai sensi del presente capo“.

Sebbene la norma faccia riferimento esclusivo a “sentenze” o “decisioni”, ai sensi delle Linee Guida la terminologia utilizzata dal Paese terzo per qualificare la sua richiesta non è rilevante; ciò che rileva è che essa provenga da un’autorità pubblica di un Paese terzo e che abbia per oggetto l’accesso a dati personali. Infatti, secondo l’EDPB rientra nell’ambito di applicazione dell’articolo 48 qualunque modalità attraverso cui un titolare o responsabile nell’UE potrebbe rendere accessibili i dati a un Paese terzo. In altre parole, qualunque richiesta ufficiale da parte di un’autorità pubblica di un Paese terzo – a prescindere dalle sue finalità e dal contesto – rivolta a un operatore privato con sede nell’UE rientra nell’ambito di applicazione dell’articolo 48 del GDPR.

Obblighi e valutazioni preliminari per i soggetti stabiliti nell’UE

Nel caso in cui venga ricevuta una richiesta da parte di un’autorità straniera, il titolare del trattamento è tenuto a valutare attentamente la richiesta al fine di comprendere l’opportunità di darvi seguito. Nel caso in cui la richiesta sia indirizzata al responsabile del trattamento, quest’ultimo è tenuto, senza ingiustificato ritardo, a informare il titolare e a conformarsi alle sue istruzioni, salvo che la legge dell’Unione o dello Stato membro vieti tale comunicazione per motivi di interesse pubblico rilevante. Ciò premesso, ai fini della decisione circa il trasferimento dovrà essere attentamente valutato:

• il rispetto del requisito di cui all’articolo 6 del GDPR, attinente alla necessità di individuare una base giuridica appropriata per il trattamento; e
• il rispetto dei requisiti di cui al capo V del GDPR, in materia di trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. È infatti necessario identificare uno dei motivi espressamente indicati nel capo V del GDPR per poter procedere al trasferimento internazionale verso Paesi terzi.

1. Base giuridica: il primo passo consiste nell’individuazione della corretta base giuridica. In particolare:

• Qualora vi sia un obbligo legale di condivisione derivante da un accordo internazionale, la base giuridica è l’adempimento di un obbligo di legge ai sensi dell’articolo 6, paragrafo 1, lett. c) del GDPR;
• Nel caso in cui non vi sia alcun obbligo legale derivante da un accordo internazionale, ad eccezione della base giuridica dell’esecuzione di un contratto di cui all’articolo 6, paragrafo 1, lett. b) – espressamente esclusa –, le altre basi giuridiche potenzialmente utilizzabili sono:
• il consenso, ai sensi dell’articolo 6, paragrafo 1, lett. a) del GDPR, previa attenta valutazione della sua applicabilità al caso concreto;
• l’esecuzione di un compito di interesse pubblico, ai sensi dell’articolo 6, paragrafo 1, lett. e) del GDPR, nelle situazioni in cui pur non essendo la divulgazione obbligatoria ai sensi di un accordo internazionale, la stessa è comunque consentita dal diritto dell’UE o degli Stati membri;
• la tutela degli interessi vitali della persona interessata, ai sensi dell’articolo 6, paragrafo 1, lett. d);
• il legittimo interesse, ai sensi dell’articolo 6, paragrafo 1, lett. f) del GDPR. In tal caso rimane altresì fondamentale lo svolgimento di una Legitimate Interest Assessment (LIA).

2. Presupposti per il trasferimento (Capo V): individuata la base giuridica, è necessario identificare uno dei motivi legittimanti il trasferimento verso paesi terzi, tra:

• Decisione di adeguatezza della commissione Europea (ex articolo 45 del GDPR): nel caso in cui la commissione Europea abbia emanato una “adequacy decision“, attestante un livello di protezione equivalente a quello offerto dal GDPR, è possibile procedere al trasferimento;
• Garanzie appropriate (ex articolo 46 del GDPR): in assenza di una decisione di adeguatezza, è necessario individuare garanzie ulteriori per poter procedere al trasferimento. Ai sensi dell’articolo 46, paragrafo 2, lett. a), le garanzie appropriate possono essere fornite – inter alia – da “uno strumento giuridicamente vincolante ed esecutivo tra autorità o organismi pubblici”, ossia un accordo internazionale ai sensi dell’articolo 48. Tuttavia, la mera esistenza dell’accordo internazionale non è sufficiente: è fondamentale che tale accordo preveda garanzie appropriate per il trasferimento. In assenza di tali garanzie, l’accordo internazionale non è sufficiente e dovranno essere adottate misure ulteriori (e.g. clausole tipo adottate dalla Commissione Europea o dall’autorità di controllo, meccanismo di certificazione).
• Deroghe (Articolo 49 del GDPR): In assenza di una decisione di adeguatezza applicabile o di garanzie appropriate, è possibile ricorrere alle deroghe di cui all’articolo 49 del GDPR, il quale offre un numero limitato di situazioni specifiche in cui i trasferimenti possono avere luogo (e.g. il trasferimento è necessario per importanti motivi di interesse pubblico o per l’accertamento, l’esercizio o la difesa di diritti in sede giudiziarie) anche in assenza delle suddette salvaguardie. Tali deroghe vanno però interpretate in senso restrittivo e rimane dunque fondamentale una approfondita analisi caso per caso per valutare la possibilità di ricorrervi.

In conclusione:

• Se esiste un accordo internazionale che fornisce sia la base giuridica dell’obbligo di legge sia garanzie adeguate, è possibile procedere al trasferimento;
• Se esiste un accordo internazionale che fornisce la base giuridica dell’obbligo di legge ma non contiene le garanzie adeguate al trasferimento, è necessario individuare un altro motivo per il trasferimento ai sensi del capo V del GDPR;
• Se non esiste un accordo internazionale, è necessario individuare sia la base giuridica sia il motivo per il trasferimento ai sensi del capo V del GDPR.

Conclusioni

Le Linee guida 02/2024 dell’EDPB forniscono un importante chiarimento relativamente alle richieste di dati personali da parte di autorità di Paesi terzi, sottolineando l’assenza di qualunque forma di automatismo e l’obbligo di rispettare i principi di cui al GDPR nel trasferimento di dati verso tali autorità.  È infatti necessario che ogni richiesta sia oggetto di un’attenta e puntuale valutazione, finalizzata a verificare, da un lato, la sussistenza di una base giuridica del trattamento conforme all’articolo 6 del GDPR, e, dall’altro, la presenza di una base legittima per il trasferimento verso il Paese terzo, ai sensi del Capo V del GDPR.

Su un argomento simile può essere d’interesse l’articolo: ” Protezione dei dati: sanzione record per violazioni nei trasferimenti extra-UE ”

Autore: Federico Toscani