Interpretazione e implicazioni delle Linee Guida EDPB 02/2024 sull’Articolo 48 GDPR

Tempo di lettura stimato:2 Minuti, 53 Secondi

L’Articolo 48 del GDPR, rubricato come “Trasferimenti o divulgazioni non autorizzati dal diritto dell’Unione”, riveste un ruolo fondamentale nella protezione dei dati personali contro richieste provenienti da autorità di Paesi terzi. Le Linee Guida 02/2024, adottate ieri, lunedì 2 dicembre 2024, dall’EDPB, chiariscono la portata e gli obiettivi di tale disposizione, fornendo raccomandazioni pratiche per titolari e responsabili del trattamento stabiliti nell’UE.

In un contesto sempre più globalizzato, dove la cooperazione internazionale è essenziale, la regolamentazione dei flussi di dati transfrontalieri è cruciale per garantire che i diritti fondamentali dei cittadini dell’UE non vengano compromessi.


Obiettivi e rilevanza dell’articolo 48

L’Articolo 48 stabilisce che un giudizio di un tribunale o una decisione di un’autorità amministrativa di un Paese terzo che impone la divulgazione di dati personali può essere riconosciuto e applicabile solo se basato su un accordo internazionale in vigore tra il Paese richiedente e l’Unione Europea o uno Stato membro.

Punti chiave:

  • protezione della sovranità giuridica dell’UE nei confronti di leggi straniere;
  • necessità di un accordo internazionale valido, come un trattato di mutua assistenza legale (MLAT), per riconoscere tali richieste;
  • applicazione congiunta con le disposizioni del Capitolo V del GDPR, che regolano i trasferimenti internazionali di dati.

Questo articolo ribadisce che richieste dirette da autorità di Paesi terzi non possono costituire, di per sé, una base legale per il trattamento o il trasferimento dei dati.


Ambito di applicazione

Le Linee Guida specificano che l’Articolo 48 si applica a situazioni in cui:

  1. titolari o responsabili del trattamento nell’UE ricevono richieste da autorità di Paesi terzi;
  2. tali richieste derivano da decisioni ufficiali o giudiziarie;
  3. non esiste un quadro normativo internazionale che legittimi tali richieste.

Esempi includono richieste da parte di autorità di regolamentazione finanziaria, organismi di sicurezza nazionale o enti di controllo del settore privato.


Condizioni per il Riscontro alle Richieste

1. Conformità all’Articolo 6 del GDPR

Ogni trattamento deve avere una base legale chiara:

  • obbligo legale derivante da un accordo internazionale (Articolo 6(1)(c));
  • interesse pubblico (Articolo 6(1)(e)) in casi specifici, con adeguata base normativa;
  • interessi vitali (Articolo 6(1)(d)) in circostanze eccezionali, come la salvaguardia della vita di una persona.

Il consenso, pur menzionato, è generalmente considerato inadatto per richieste da parte di autorità pubbliche estere.

2. Rispetto del Capitolo V del GDPR

Un trasferimento verso un Paese terzo deve rispettare una delle seguenti condizioni:

  • decisione di adeguatezza della Commissione Europea;
  • garanzie appropriate previste da strumenti come clausole contrattuali standard o regole aziendali vincolanti;
  • applicazione delle deroghe dell’Articolo 49 per casi eccezionali.

Raccomandazioni Pratiche

  1. Rifiuto delle richieste dirette: In mancanza di un quadro giuridico adeguato, i titolari e responsabili dovrebbero respingere tali richieste, indirizzando le autorità richiedenti verso gli strumenti di cooperazione internazionale esistenti.
  2. Valutazione caso per caso: Ogni richiesta deve essere analizzata alla luce delle disposizioni del GDPR e di eventuali norme nazionali o internazionali applicabili.
  3. Documentazione: È essenziale mantenere una traccia dettagliata delle decisioni prese in merito alle richieste ricevute, inclusa l’analisi giuridica svolta.

Conclusioni

Le Linee Guida 02/2024 rafforzano la tutela dei dati personali dei cittadini europei contro l’applicazione extraterritoriale delle leggi straniere. Per i soggetti coinvolti, queste linee guida rappresentano un importante strumento interpretativo per navigare le complessità dei trasferimenti internazionali.

L’adozione di prassi conformi non è solo un obbligo normativo, ma una dimostrazione di impegno verso la protezione dei diritti fondamentali in un mondo sempre più interconnesso.