L’EDPB ha pubblicato il 4 giugno 2025 la versione finale, in seguito alla chiusura della consultazione pubblica con il mercato, delle linee guida sul trasferimento dei dati personali alle Autorità di paesi terzi.
L’art. 48 del GDPR stabilisce infatti che qualsiasi sentenza di un organo giurisdizionale o decisione di un’autorità amministrativa di un paese terzo, che imponga al titolare del trattamento o al responsabile del trattamento di trasferire o divulgare dati personali, può essere riconosciuta o eseguita in qualsiasi modo solo se basata su un accordo internazionale, quale un trattato di assistenza giudiziaria reciproca, in vigore tra il paese terzo richiedente e l’Unione o uno Stato membro, fatti salvi altri motivi di trasferimento previsti dallo stesso Capo V.
Lo scopo delle linee guida è quindi chiarire la logica e l’obiettivo di tale articolo, compresa la sua interazione con le altre disposizioni del Capo V del GDPR, e fornire raccomandazioni pratiche ai titolari del trattamento e ai responsabili del trattamento nell’UE che potrebbero ricevere richieste da autorità di paesi terzi di divulgare o trasferire dati personali.
L’obiettivo principale della disposizione è chiarire che le sentenze o le decisioni delle autorità di paesi terzi non possono essere automaticamente e direttamente riconosciute o eseguite in uno Stato membro dell’UE, sottolineando la sovranità giuridica rispetto al diritto dei paesi terzi: come regola generale, il riconoscimento e l’esecutività delle sentenze e delle decisioni straniere sono garantiti dagli accordi internazionali applicabili.
Indipendentemente dall’esistenza di un accordo internazionale applicabile, se un responsabile del trattamento o un incaricato del trattamento nell’UE riceve e risponde a una richiesta di dati personali da parte di un’autorità di un paese terzo, tale flusso di dati costituisce un trasferimento ai sensi del GDPR e deve essere conforme all’art. 6 e alle disposizioni del capitolo V.
Un accordo internazionale può fornire sia una base giuridica (ex art. 6, par. 1, lett. c) o e)), che un motivo per il trasferimento (ex art. 46, par. 2, lett. a)).
In assenza di un accordo internazionale, o se l’accordo non fornisce una base giuridica ai sensi dell’art. 6, par. 1, lett. c) o lett. e), o non prevede garanzie adeguate ai sensi dell’art. 46, par. 2, lett. a), potrebbero essere prese in considerazione altre basi giuridiche, o potrebbero applicarsi altri motivi di trasferimento, comprese le deroghe di cui all’art. 49 GDPR.
L’art. 48 fa riferimento infatti ad un accordo internazionale, “fatti salvi altri motivi di trasferimento ai sensi del presente capo“.
Per quanto riguarda i requisiti del capo V, per l’EDPB, questa formulazione potrebbe coprire due possibili situazioni:
- in primo luogo, se non esiste un accordo internazionale che preveda la cooperazione tra il titolare del trattamento o il responsabile del trattamento e l’autorità del paese terzo, il trasferimento a un’autorità di un paese terzo deve essere basato su un’altra base giuridica ai sensi dell’art. 6 del GDPR e su un altro motivo di trasferimento di cui al capitolo V
- se esiste un accordo internazionale che prevede la base giuridica ai sensi dell’art. 6, ma non contiene le garanzie adeguate conformemente all’art. 46, par. 2, lett. a), e alle
linee guida 2/2020 dell’EDPB, il titolare del trattamento deve individuare un altro motivo per il trasferimento nel capitolo V.
In assenza di una decisione di adeguatezza applicabile o di garanzie adeguate, l’art. 49 del GDPR prevede un numero limitato di situazioni specifiche in cui può aver lungo il trasferimento di dati personali alle Autorità di paesi terzi, ad esempio se tale trasferimento è necessario per motivi importanti di interesse pubblico o per l’esercizio o la difesa di diritti legali.
L’EDPB ha elaborato un elenco di garanzie minime da includere negli accordi internazionali, che devono essere in grado di assicurare che gli interessati, i cui dati personali siano trasferiti, beneficino di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE.
Di conseguenza, gli accordi internazionali applicabili che prevedono il trasferimento di dati personali dovrebbero, tra l’altro, garantire il rispetto dei principi fondamentali della protezione dei dati da entrambe le parti, ovvero garantire diritti esecutivi ed efficaci per gli interessati, contenere restrizioni sui trasferimenti successivi e sulla condivisione dei dati, comprese garanzie aggiuntive per i dati sensibili, e prevedere meccanismi indipendenti di ricorso e supervisione.
Tuttavia le deroghe di cui all’art. 49 del GDPR devono essere interpretate in modo restrittivo e riguardano principalmente attività di trattamento occasionali e non ripetitive.
