EDPB: nuove linee guida sul trasferimento di dati personali fuori dal SEE
Il 4 giugno 2025, lo European Data Protection Board ha pubblicato la versione finale delle linee guida relative all’articolo 48 del Regolamento n. 679/2016, fornendo direttive e indicazioni pratiche sulla corretta interpretazione di tale articolo relativamente al trasferimento di dati personali verso un’autorità di paesi terzi.
L’articolo 48 del GDPR stabilisce che le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del capo V del medesimo regolamento.
Lo EDPB, attraverso il provvedimento in esame, intende fornire indicazioni pratiche su come comportarsi quando un titolare o responsabile del trattamento riceve una richiesta di trasferimento di dati personali da autorità di paesi terzi.
Innanzitutto, il provvedimento chiarisce che le sentenze o le decisioni delle autorità di paesi terzi non possono essere automaticamente e direttamente riconosciute o eseguite in uno Stato membro dell’UE.
Affinchè tali sentenze e decisioni straniere siano esecutive e dunque applicabili, la regola generale prevede che siano in vigore accordi internazionali.
Indipendentemente dall’esistenza di un accordo internazionale applicabile, se un responsabile del trattamento o un incaricato del trattamento nell’UE riceve e risponde a una richiesta di dati personali da parte di un’autorità di un paese terzo, il trasferimento di dati deve intendersi sempre quale trasferimento ai sensi del GDPR e pertanto deve rispettare quanto disposto dall’art. 6 del GDPR e dalle altre disposizioni del capitolo V del medesimo regolamento. In tal caso però la legittimità del trasferimento deve valutarsi caso per caso.
Un accordo internazionale può fornire sia una base giuridica (ex art. 6, par. 1, lett. c) o e)), che un motivo per il trasferimento (ex art. 46, par. 2, lett. a)).
Se non sussiste un accordo internazionale, oppure se l’accordo non fornisce una base giuridica adeguata ai sensi dell’art. 6, par. 1, lett. c) o lett. e), o non prevede garanzie appropriate ai sensi dell’art. 46, par. 2, lett. a), potrebbero essere richiamate altre basi giuridiche, oppure si potrebbe fare ricorso ad altri presupposti di trasferimento, comprese le deroghe di cui all’art. 49 GDPR.
La disposizione di cui all’articolo 48, infatti, letteralmente fa riferimento ad un accordo internazionale, ma fa “salvi altri presupposti di trasferimento ai sensi del presente capo“.
Più in dettaglio, lo EDPB prevede due possibili situazioni:
- in assenza di accordo internazionale che preveda la collaborazione tra il titolare del trattamento o il responsabile del trattamento e l’autorità del paese terzo, per essere lecito il trasferimento a un’autorità di un paese terzo deve essere basato su un’altra base giuridica, ai sensi dell’art. 6 del GDPR e su un altro motivo di trasferimento di cui al capitolo V;
- se sussiste un accordo internazionale che fa riferimento ad una idonea base giuridica ai sensi dell’art. 6, ma non contiene le garanzie adeguate previste dall’art. 46, par. 2, lett. a), e dalle linee guida 2/2020 dell’EDPB, il titolare del trattamento è tenuto a ricorrere ad altri presupposti indicati nel capitolo V del GDPR per poter effettuare il trasferimento.
In assenza di una decisione di adeguatezza applicabile o di garanzie appropriate, l'articolo 49 del GDPR offre un numero limitato di situazioni specifiche in cui i trasferimenti possono aver luogo, ad esempio se sono necessari per importanti motivi di interesse pubblico o per l'istituzione di un'azione legale per l'esercizio o la difesa di un diritto in sede giudiziaria. Tuttavia, come spiegato nelle precedenti linee guida emanate dallo stesso EDPB, le deroghe di cui all'articolo 49 del GDPR devono essere interpretate restrittivamente e riguardano principalmente le attività di trattamento di natura occasionale e non ripetitive.
Il Comitato europeo per la protezione dei dati (EDPB) ha inserito nel provvedimento un elenco di garanzie minime da includere negli accordi internazionali che rientrano nelle previsioni di cui all’articolo 46, paragrafo 2, lettera a).
Tali garanzie devono essere in grado di garantire che agli interessati sia assicurato un livello di protezione dei dati pari a quello previsto nell’Unione europea.
Di conseguenza, gli accordi internazionali applicabili che prevedono il trasferimento di dati personali dovrebbero, tra l'altro, prevedere che i principi fondamentali di protezione dei dati siano garantiti da entrambe le parti, ovvero garantire diritti effettivi e azionabili degli interessati, contenere restrizioni ai trasferimenti successivi e alla condivisione dei dati, comprese garanzie aggiuntive per i dati sensibili e prevedere meccanismi di ricorso e controllo indipendenti.