Il 3 dicembre scorso, sul sito web dello European Data Protection Board (EDPB), sono state pubblicate le nuove Linee Guida N. 02/2024 sull’applicazione dell’art. 48 del GDPR. L’obiettivo è fornire raccomandazioni pratiche per i titolari e i responsabili del trattamento nell’UE che potrebbero ricevere richieste da autorità di Paesi terzi aventi ad oggetto il trasferimento di dati personali.
La condivisione dei dati in un mondo interconnesso
In un mondo altamente interconnesso, le organizzazioni ricevono richieste dalle autorità pubbliche di altri paesi per condividere dati personali. La condivisione dei dati può, ad esempio, essere utile per raccogliere prove in caso di reato. Ciò si rivela ancora più utile se si pensa ai reati commessi a mezzo social, dove l’individuazione del locus commissi delicti e delle fonti di prova è particolarmente difficile e richiede una piena cooperazione internazionale tra le autorità.
In particolare, quando un’organizzazione europea riceve una richiesta di trasferimento di dati da un’autorità di un Paese terzo, ossia al di fuori dello Spazio Economico Europeo (SEE), deve rispettare il GDPR.
In questo contesto si inseriscono le Linee Guida in esame, con le quali l’EDPB si concentra sull’art. 48 GDPR, e chiarisce come le organizzazioni possono valutare al meglio in quali condizioni possono rispondere legalmente a tali richieste. In questo modo, le Linee Guida aiutano le organizzazioni a decidere se possono trasferire legalmente i dati personali alle autorità di paesi terzi quando richiesto.
L’art. 48 come scudo agli standard di tutela europei
Ai sensi dell’art. 48 del GDPR, le sentenze e le decisioni delle autorità di Paesi terzi che impongono a un titolare del trattamento o a un responsabile del trattamento nell’UE di trasferire o divulgare dati personali possono essere riconosciute ed eseguite solo se si basano su un accordo internazionale applicabile, come un trattato di mutua assistenza giudiziaria (MLAT) in vigore tra il paese richiedente e l’UE o uno Stato membro, senza pregiudicare altri motivi di trasferimento ai sensi del Capo V del GDPR. In altri termini, quindi, la norma regola l’accesso ai dati personali da parte di tribunali e autorità di paesi terzi.
Il Considerando 115 chiarisce che la disposizione mira a proteggere i dati personali dall’applicazione delle leggi di Paesi terzi che possono violare il diritto internazionale e possono impedire il conseguimento della protezione delle persone fisiche assicurata nell’Unione. Pertanto, laddove i dati trattati nell’UE siano trasferiti o divulgati in risposta a una richiesta di un’autorità di un Paese terzo, tale divulgazione è soggetta al GDPR e costituisce un trasferimento ai sensi del Capo V. Ciò significa che, come per qualsiasi trasferimento soggetto al GDPR, deve esserci una base giuridica per il trattamento nell’articolo 6 e un motivo per il trasferimento nel Capo V.
Chiarito che l’art. 48 si applica quando un titolare o un responsabile del trattamento nell’UE riceve una decisione o una sentenza da un’autorità amministrativa o da un tribunale di un Paese terzo che richiede il trasferimento o la divulgazione di dati personali, si presenta il problema legato alla terminologia ed alla individuazione dei provvedimenti interessati quando si parla di “tribunale” o “autorità amministrativa”.
Sul punto l’EDPB ritiene che la terminologia utilizzata dall’ente pubblico del Paese terzo per qualificare la propria richiesta come “decisione” o “sentenza” non sia decisiva per l’applicazione dell’articolo 48, purché si tratti di una richiesta ufficiale da parte di un’autorità. In altri termini l’’EDPB ritiene che la formulazione dell’art. 48 comprenda ogni possibile modo in cui un titolare o un responsabile del trattamento nell’UE potrebbe rendere i dati personali accessibili a un’autorità di un paese terzo.
L’art. 48 nel contesto del GDPR
Appurato come di fatto l’art. 48 del GDPR sia pensato come una sorta di scudo protettivo rispetto alle richieste di autorità di Paesi terzi aventi ad oggetto dati personali, l’aspetto su cui punta fortemente l’EDPB è soprattutto che in tutti i casi deve essere applicato un “test in due fasi” quando si tratta di trasferimento di dati personali a Paesi terzi: in primo luogo, deve esserci una base giuridica ex art. 6 del GDPR per il trattamento dei dati, insieme a tutte le disposizioni pertinenti del GDPR; e in secondo luogo, devono essere rispettate le disposizioni del Capo V.
I profili di compliance con l’art. 6 del GDPR
Non vi è alcun dubbio che un trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali debba anche soddisfare le condizioni delle altre disposizioni del GDPR, a partire dai suoi principi generali.
L’art. 5 del GDPR stabilisce, fra gli altri, il principio di liceità, in base al quale qualsiasi trattamento di dati personali deve avere una base giuridica ai sensi dell’art. 6.
Ora, il caso descritto nell’art. 48 presuppone che vi sia una sentenza di un tribunale o una decisione di un’autorità amministrativa di un Paese terzo che richieda a un titolare o a un responsabile del trattamento nell’UE di trasferire o divulgare dati personali. Inoltre, questa richiesta da parte di un’autorità di un paese terzo può essere riconosciuta o resa esecutiva solo se si basa su un accordo internazionale, che può conferire a tale richiesta l’effetto di un obbligo legale a cui è soggetto il titolare del trattamento.
Orbene, laddove il trattamento dei dati personali venga effettuato per adempiere a un obbligo legale, l’art. 6, par. 1, lett. c), fornisce una base giuridica esplicita. Di conseguenza, l’EDPB ritiene che per il caso delineato nell’articolo 48, in cui vi sia un accordo internazionale applicabile, l’art. 6, par. 1, lett. c) sarebbe la base giuridica appropriata per il trasferimento.
Qualora invece non vi sia alcun obbligo legale derivante da un accordo internazionale l’uso di altre basi giuridiche ai sensi dell’art. 6 rimane certamente possibile, purché siano almeno soddisfatti i requisiti legali stabiliti dal capo V del GDPR. Qui però la situazione cambia, perché le altre basi giuridiche diverse dall’obbligo legale (che consegue alla presenza di un accordo internazionale) devono essere attentamente esaminate caso per caso, a causa dell’elevato numero di possibili situazioni. Ad esempio, in linea di principio il consenso ai sensi dell’art. 6, par. 1, lett. a) potrebbe essere considerato una base giuridica per un trasferimento verso Paesi terzi.
Tuttavia, in altri casi, l’uso del consenso come base giuridica potrebbe essere inappropriato, soprattutto se il trattamento è correlato all’esercizio di poteri autoritari.
Ancora, l’EDPB presume che sia possibile fare affidamento sul legittimo interesse ex art. 6, par. 1, lett. f) per trasferimenti ad autorità di Paesi terzi in circostanze eccezionali. Tuttavia, lo stesso Board ricorda che qualsiasi trattamento basato sui legittimi interessi del titolare del trattamento o di terzi deve essere necessario e bilanciato con gli interessi o i diritti e le libertà fondamentali dell’interessato.
Sarà poi l’esito del test di bilanciamento a determinare se la base giuridica in questione può essere invocata per il trattamento, e comunque qualsiasi trattamento basato su un interesse legittimo è sempre limitato a quanto è dimostrabilmente necessario per questo specifico interesse del titolare del trattamento o della terza parte.
Vediamo quindi che l’unica base giuridica sulla quale si può fare pressoché cieco affidamento è l’obbligo legale, in quanto derivante da un accordo internazionale come previsto dall’art. 48 del GDPR. Negli altri casi le valutazioni si relativizzano, e necessitano un maggiore sforzo interpretativo del caso concreto.
L’art. 48 è parte integrante del Capo V del GDPR
Come anticipato, l’art. 48 deve essere letto come parte del sistema delineato dal GDPR, e come norma inserita nel Capo V dedicato ai flussi transnazionali di dati, e quindi, in prima battuta, congiuntamente all’art. 44, recante il principio generale per i trasferimenti.
Quest’ultima norma stabilisce che qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, “ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento”. Tali regole, come specificato dallo stesso art. 44, hanno lo scopo di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato dalle normative dei Paesi terzi destinatari dei dati.
A tal fine, il Capo V elenca le basi giuridiche (o motivi) per i trasferimenti extra UE/SEE, a partire dalle decisioni di adeguatezza della Commissione europea ai sensi dell’art. 45. In assenza di queste ultime, possono essere previste garanzie adeguate ex art. 46. In assenza di entrambe, si applicano le altre disposizioni del Capo V.
Ciò che tuttavia è nostro interesse precisare in questa sede, e che non deve trarre in inganno, è che l’art. 48 non è un motivo per il trasferimento.
La disposizione in sé non contiene garanzie sulla protezione dei dati, ma chiarisce che le decisioni o le sentenze delle autorità di Paesi terzi non possono essere riconosciute o eseguite nell’UE/SEE a meno che un accordo internazionale non lo preveda. Pertanto, prima di rispondere a una richiesta da parte di un’autorità di un Paese terzo che rientra nell’articolo 48, il titolare del trattamento o il responsabile del trattamento nell’UE/SEE devono identificare un altro motivo di trasferimento applicabile tra quelli previsti dal Capo V.
Ai sensi dell’art. 46, par. 2, lett. a), possono essere previste garanzie appropriate tramite “uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici”, ovvero un accordo internazionale ai sensi dell’art. 48. Tali accordi sono conclusi dagli Stati e tradizionalmente consentono la cooperazione tra autorità pubbliche, ma possono anche prevedere una cooperazione diretta tra entità private e autorità pubbliche. Se un accordo internazionale riguarda la cooperazione tra il titolare o il responsabile del trattamento nell’UE/SEE e l’autorità del Paese terzo richiedente, tale accordo può fungere da base per il trasferimento se prevede le garanzie appropriate ai sensi dell’articolo 46, par. 2, lett. a).
Garanzie minime da includere negli accordi internazionali
Sul punto, l’EDPB ha elaborato un elenco di garanzie minime da includere negli accordi internazionali che rientrano nell’art. 46, par. 2, lett. a), le quali devono essere in grado di garantire che gli interessati i cui dati personali vengono trasferiti ricevano un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE. Di conseguenza, gli accordi internazionali che prevedono i trasferimenti di dati personali dovrebbero, ad esempio, garantire diritti degli interessati, contenere restrizioni sui trasferimenti successivi e sulla condivisione dei dati, prevedere garanzie aggiuntive per i dati sensibili, fornire meccanismi di ricorso e supervisione indipendenti, e così via. Le garanzie appropriate possono essere incluse direttamente nell’accordo internazionale, che prevede la cooperazione diretta tra il titolare del trattamento o il responsabile del trattamento e le autorità del paese terzo, o in uno strumento giuridicamente vincolante separato.
Ora, l’art. 48 fa riferimento a un accordo internazionale “fatti salvi altri motivi di trasferimento ai sensi del presente Capo”. Ebbene, secondo l’EDPB, per quanto riguarda i requisiti del Capo V, la formulazione di cui all’art. 48 potrebbe coprire due possibili situazioni:
- in primo luogo, se non esiste un accordo internazionale che preveda la cooperazione tra il titolare o il responsabile del trattamento e l’autorità del paese terzo, un trasferimento a un’autorità del paese terzo deve essere basato su un’altra base giuridica ai sensi dell’art. 6 del GDPR e su un altro motivo di trasferimento previsto nel Capo V;
- in secondo luogo, se esiste un accordo internazionale che prevede la base giuridica ai sensi dell’art. 6, ma non contiene le garanzie adeguate ai sensi dell’art. 46, par. 2, lett. a) e delle Linee guida dell’EDPB N. 2/2020, il titolare del trattamento deve identificare un altro motivo di trasferimento nel Capo V.
Trasferimento dati in paesi terzi: una materia in evoluzione
Il trasferimento di dati verso Paesi terzi è un tema di grande rilevanza nel panorama della protezione dei dati. Il GDPR ha introdotto un quadro normativo rigoroso, ma la materia rimane complessa e con importanti prospettive di evoluzione. In particolare, la cooperazione internazionale si è rivelata, negli anni, un terreno decisivo su diversi fronti, dalla lotta al terrorismo fino alla repressione dei principali crimini informatici. In questo contesto di sempre maggiore interazione tra le autorità pubbliche anche di Paesi terzi, un quadro giuridico che possa regolare i rapporti senza pregiudicare i diritti fondamentali e le libertà dei cittadini è quantomai urgente, al di là di qualsiasi dubbio interpretativo.
Ad ogni modo, Linee guida saranno soggette a consultazione pubblica fino al 27 gennaio 2025, ed il dibattito sul tema è tutt’altro che terminato.
Avv. Marco Martorana
