A seguito dell’ultima plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato in consultazione le linee guida sull’art. 48 del GDPR relative al trasferimento di dati personali alle autorità di paesi terzi (extra UE).
In un mondo altamente interconnesso, le organizzazioni ricevono dalle autorità pubbliche di altri Paesi richieste di condivisione di dati personali: la condivisione dei dati può essere utile, ad esempio, per raccogliere prove in caso di reati, controllare transazioni finanziarie o approvare nuovi farmaci.
Quando un’organizzazione europea riceve una richiesta di trasferimento di dati personali da parte di un’autorità di un “Paese terzo” (extra UE), deve rispettare il Regolamento generale sulla protezione dei dati (GDPR).
Nelle proprie linee guida, l’EDPB si sofferma sull’art. 48 del GDPR e chiarisce le condizioni per poter rispondere legittimamente a tali richieste, in conformità al Regolamento.
L’art. 48 del GDPR prevede che: “qualsiasi sentenza di un tribunale o di un’autorità giudiziaria e qualsiasi decisione di una autorità amministrativa di un paese terzo che imponga a un responsabile del trattamento o a un incaricato del trattamento di trasferire o divulgare dati personali può essere riconosciuta o resa esecutiva in qualsiasi modo solo se basata su un accordo internazionale, come un trattato di mutua assistenza legale giudiziaria, in vigore tra il paese terzo richiedente e l’Unione o uno Stato membro, fatti salvi gli altri motivi di trasferimento ai sensi del presente capo”.
L’obiettivo principale della disposizione è quello di chiarire che le sentenze o le decisioni delle autorità di Paesi terzi non possono essere automaticamente e direttamente riconosciute o eseguite in uno Stato membro dell’UE, sottolineando in tal modo la sovranità giuridica di uno Stato membro nei confronti del diritto di un Paese terzo.
Come regola generale, il riconoscimento e l’esecutività di sentenze e decisioni straniere sono garantiti da accordi internazionali applicabili; indipendentemente dall’esistenza di un accordo internazionale applicabile, se un responsabile del trattamento o un incaricato del trattamento nell’UE riceve e risponde a una richiesta di un paese terzo, tale flusso di dati è un trasferimento ai sensi del GDPR e deve essere conforme all’art. 6 e alle disposizioni del Capitolo V.
Un accordo internazionale può prevedere sia una base giuridica (ai sensi dell’art. 6, paragrafo 1, lett. c) o e)), che un motivo di trasferimento (ai sensi dell’art. 46, paragrafo 2, lettera a)).
In assenza di un accordo internazionale, o se l’accordo non prevede una base giuridica, in base all’art. 6, paragrafo 1, lett. c), o lett. e), potrebbero essere prese in considerazione altre basi giuridiche.
Allo stesso modo, se non esiste un accordo internazionale o l’accordo non prevede adeguate salvaguardie, ai sensi dell’art. 46, paragrafo 2 lett. a), si potrebbero prendere in considerazione altri motivi per il trasferimento, comprese le deroghe di cui all’art. 49.
Lo scopo delle linee guida è quindi di chiarire la logica e l’obiettivo dell’art. 48 citato, compresa la sua interazione con le altre disposizioni del Capo V del GDPR, nonché di fornire raccomandazioni pratiche per i responsabili del trattamento e gli incaricati del trattamento nell’UE, che potrebbero ricevere richieste, da parte di autorità di Paesi terzi, di divulgazione o trasferimento di dati personali.
La consultazione è aperta sino al 27 gennaio 2025.
