L’Articolo 48 del GDPR, rubricato come “Trasferimenti o divulgazioni non autorizzati dal diritto dell’Unione”, riveste un ruolo fondamentale nella protezione dei dati personali contro richieste provenienti da autorità di Paesi terzi. Le Linee Guida 02/2024, adottate ieri, lunedì 2 dicembre 2024, dall’EDPB, chiariscono la portata e gli obiettivi di tale disposizione, fornendo raccomandazioni pratiche per titolari e responsabili del trattamento stabiliti nell’UE.
In un contesto sempre più globalizzato, dove la cooperazione internazionale è essenziale, la regolamentazione dei flussi di dati transfrontalieri è cruciale per garantire che i diritti fondamentali dei cittadini dell’UE non vengano compromessi.
Obiettivi e rilevanza dell’articolo 48
L’Articolo 48 stabilisce che un giudizio di un tribunale o una decisione di un’autorità amministrativa di un Paese terzo che impone la divulgazione di dati personali può essere riconosciuto e applicabile solo se basato su un accordo internazionale in vigore tra il Paese richiedente e l’Unione Europea o uno Stato membro.
Punti chiave:
- protezione della sovranità giuridica dell’UE nei confronti di leggi straniere;
- necessità di un accordo internazionale valido, come un trattato di mutua assistenza legale (MLAT), per riconoscere tali richieste;
- applicazione congiunta con le disposizioni del Capitolo V del GDPR, che regolano i trasferimenti internazionali di dati.
Questo articolo ribadisce che richieste dirette da autorità di Paesi terzi non possono costituire, di per sé, una base legale per il trattamento o il trasferimento dei dati.
Ambito di applicazione
Le Linee Guida specificano che l’Articolo 48 si applica a situazioni in cui:
- titolari o responsabili del trattamento nell’UE ricevono richieste da autorità di Paesi terzi;
- tali richieste derivano da decisioni ufficiali o giudiziarie;
- non esiste un quadro normativo internazionale che legittimi tali richieste.
Esempi includono richieste da parte di autorità di regolamentazione finanziaria, organismi di sicurezza nazionale o enti di controllo del settore privato.
Condizioni per il Riscontro alle Richieste
1. Conformità all’Articolo 6 del GDPR
Ogni trattamento deve avere una base legale chiara:
- obbligo legale derivante da un accordo internazionale (Articolo 6(1)(c));
- interesse pubblico (Articolo 6(1)(e)) in casi specifici, con adeguata base normativa;
- interessi vitali (Articolo 6(1)(d)) in circostanze eccezionali, come la salvaguardia della vita di una persona.
Il consenso, pur menzionato, è generalmente considerato inadatto per richieste da parte di autorità pubbliche estere.
2. Rispetto del Capitolo V del GDPR
Un trasferimento verso un Paese terzo deve rispettare una delle seguenti condizioni:
- decisione di adeguatezza della Commissione Europea;
- garanzie appropriate previste da strumenti come clausole contrattuali standard o regole aziendali vincolanti;
- applicazione delle deroghe dell’Articolo 49 per casi eccezionali.
Raccomandazioni Pratiche
- Rifiuto delle richieste dirette: In mancanza di un quadro giuridico adeguato, i titolari e responsabili dovrebbero respingere tali richieste, indirizzando le autorità richiedenti verso gli strumenti di cooperazione internazionale esistenti.
- Valutazione caso per caso: Ogni richiesta deve essere analizzata alla luce delle disposizioni del GDPR e di eventuali norme nazionali o internazionali applicabili.
- Documentazione: È essenziale mantenere una traccia dettagliata delle decisioni prese in merito alle richieste ricevute, inclusa l’analisi giuridica svolta.
Conclusioni
Le Linee Guida 02/2024 rafforzano la tutela dei dati personali dei cittadini europei contro l’applicazione extraterritoriale delle leggi straniere. Per i soggetti coinvolti, queste linee guida rappresentano un importante strumento interpretativo per navigare le complessità dei trasferimenti internazionali.
L’adozione di prassi conformi non è solo un obbligo normativo, ma una dimostrazione di impegno verso la protezione dei diritti fondamentali in un mondo sempre più interconnesso.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul trattamento illecito di dati personali da parte dei sistemi di intelligenza artificiale - Dicembre 20, 2024
- L’intelligenza artificiale generale nel quadro dell’AI Act: analisi delle nuove FAQ della Commissione UE - Dicembre 9, 2024
- Un’analisi critica sulle pratiche di telemarketing - Dicembre 4, 2024
- Attiva la piattaforma ACN per la conformità alla Direttiva NIS - Dicembre 3, 2024
- Interpretazione e implicazioni delle Linee Guida EDPB 02/2024 sull’Articolo 48 GDPR - Dicembre 3, 2024