L’articolo 48 del GDPR è tornato al centro del dibattito europeo con l’adozione delle Linee Guida 02/2024 da parte dell’EDPB, che ne chiariscono l’applicazione in presenza di richieste di dati personali provenienti da autorità di Paesi terzi. Il nuovo inquadramento rafforza le garanzie a tutela della sovranità digitale e dei diritti fondamentali delle persone fisiche nel territorio dell’Unione.
Indice degli argomenti
Il ruolo centrale dell’articolo 48 Gdpr nelle richieste estere
Sulla base delle Linee Guida 02/2024 adottate il 4 giugno 2025 dal Comitato Europeo per la Protezione dei Dati (EDPB), l’articolo 48 del GDPR assume una nuova centralità nel regolamentare le modalità con cui i titolari e responsabili del trattamento stabiliti nell’Unione Europea possono rispondere a richieste di trasferimento dati personali provenienti da autorità di Paesi Terzi.
Le Linee Guida rappresentano un’evoluzione interpretativa importante, soprattutto alla luce della crescente pressione da parte di autorità straniere siano esse giudiziarie o amministrative, di accedere direttamente ai dati detenuti da soggetti europei.
Si pensi ad esempio al noto CLOUD Act (Clarifying Lawful Overseas Use of Data Act) del marzo del 2018 in cui si stabilisce che le autorità statunitensi possono richiedere dati detenuti da fornitori di servizi soggetti alla giurisdizione USA, indipendentemente dal luogo di conservazione, ossia anche se stabiliti in Europa (es. Microsoft, Google, Amazon, etc.), consentendo in sostanza di aggirare il trattato di assistenza giudiziaria reciproca in materia penale (MLAT) vigente tra UE e USA, sebbene in assenza di un tale accordo o di una base giuridica valida ai sensi del GDPR, il trasferimento dei dati sia considerato illecito ai sensi del diritto dell’UE>.
In un’ottica di sovranità digitale, quindi, l’EDPB ha inteso declinare la procedura corretta per la valutazione specificatamente da parte di soggetti privati delle richieste provenienti da Paesi Terzi in base all’articolo 48 del GDPR (che non distingue in realtà tra soggetti pubblici e privati) avendo a mente 3 presupposti che il titolare e/o responsabile del trattamento europeo dovranno considerare preliminarmente, qualora dovessero ricevere una richiesta di trasferimento ovvero di comunicazione di dati personali da questi conservati:
- Il trasferimento o comunicazione dei dati personali a fronte di una richiesta di autorità giurisdizionali o amministrative, comprese quelle che vigilano sul settore privato, quali autorità del settore bancario e/o finanziario e autorità fiscali, è possibile solo in presenza di un accordo internazionale tra l’autorità del Paese terzo richiedente e L’UE;
- tale accordo internazionale dovrà prevedere la possibilità di richiedere direttamente alle autorità pubbliche di paesi terzi l’accesso ai dati personali trattati da soggetti privati nell’UE (Sezione 5, paragrafo 22 delle Linee Guida);
- se invece l’accordo internazionale rientra nell’alveo di trattati relativi all’assistenza giudiziaria reciproca internazionale che prevedono la cooperazione tra autorità pubbliche nel settore specifico oggetto, come appunto un trattato di assistenza giudiziaria reciproca (MLAT), gli enti privati nell’UE dovrebbero a monte rifiutare di trasmettere e/o comunicare direttamente i dati personali richiesti dall’autorità del Paese Terzo che dovrebbe invece rivolgersi all’autorità nazionale europea competente, in linea con la procedura prevista dal MLAT o dall’accordo specifico Sezione 5, paragrafo 22 delle Linee Guida).
Requisiti minimi per applicare l’articolo 48 Gdpr
Chiariti tali presupposti relativi all’alveo di applicazione dell’articolo 48 in relazione a cosa si debba intendere per accordo internazionale nel contesto di richieste da parte di autorità terze a soggetti privati, l’obiettivo ultimo delle Linee Guida è quindi quello di evitare che la normativa di Stati esteri trovi applicazione sul territorio europeo in assenza (i) di una base giuridica legittima ai sensi dell’articolo 6 del GDPR e (ii) di liceità del trasferimento alla luce dei criteri e garanzie sancite nel Capo V del GDPR (articoli 44-50). Perciò, nelle dinamiche di valutazione delle richieste provenienti da autorità terze, la presenza di un accordo internazionale nel senso esposto poc’anzi, è condizione necessaria, ma non sufficiente per poter dare seguito alla richiesta, perché sarà sempre necessario verificare la sussistenza dei criteri di una valida base giuridica e di salvaguardia adeguata del trattamento.
Quando l’articolo 48 del GDPR non potrà essere applicato, perché non c’è alcun valido accordo internazionale, bisognerà valutare la liceità del trattamento solo sulla base dei criteri generali già enunciati, ossia una base giuridica valida e la presenza di una condizione di trasferimento e salvaguardie adeguate come sancite dal Capo V del GDPR, escluso evidentemente lo stesso articolo 48.
Iter di valutazione della richiesta
Vediamo in pratica come dovrà comportarsi un titolare e/o un responsabile del trattamento, al ricevimento di una richiesta di comunicazione e/o trasmissione di dati personali proveniente da una qualsiasi autorità estera, indicando per inciso, come il responsabile del trattamento dovrà altresì informare il titolare della richiesta e per quanto possibile agire in cooperazione e in accordo con lo stesso.
La prima domanda da porsi è se la richiesta si fondi su una o più sentenze di un’autorità giurisdizionale o su decisioni di un’autorità amministrativa.
Se la risposta è affermativa ci si dovrà chiedere se l’atto giuridico contenente la richiesta relativa ai dati personali si basi su un accordo internazionale ai sensi dell’articolo 48.
Se anche in questo caso la risposta fosse affermativa, si passerà alle verifiche sistemiche di rispetto dell’applicazione del GDPR e specificatamente si verificherà innanzitutto la presenza di una base giuridica legittima, in questo caso ai sensi dell’articolo 6(1)(c) del GDPR, ossia la presenza di un obbligo legale derivante da un accordo internazionale vincolante, laddove l’accento è la presenza di un obbligo legale, posto che si è già verificata la presenza di un accordo internazionale, oppure dell’articolo 6(1)(e) del GDPR quando la richiesta anziché basarsi su un obbligo di legge, si basi compito di interesse pubblico sancito dal diritto UE o di uno Stato membro.
Se il vaglio della presenza di una base giuridica valida è positivo, si arriverà finalmente all’ultimo passaggio di verifica, ossia la presenza, nell’accordo internazionale di cui all’articolo 48 – di salvaguardie e garanzie specificatamente ai sensi dell’articolo 46(2)(a) del Capo V del GDPR, in cui si prevede che non sarà necessaria una preliminare autorizzazione dell’Autorità Garante Privacy per trasferire i dati laddove l’accordo internazionale contenga espressamente il richiamo ai principi fondamentali di protezione dei dati e i diritti degli interessati come richiesto dal GDPR, stabilendo anche in che modo l’organismo e/o autorità amministrativa o giudiziaria destinataria, applicherà tali principi di protezione dei dati e i diritti degli interessati, così da non compromettere il livello di protezione delle persone fisiche nei termini e modi stabiliti dal GDPR (si vedano in tal senso anche i paragrafi 66 e 67 – sezione 3 Linee guida 2/2020).
In buona sostanza, tutti i passaggi esaminati possono essere verificati scorrendo i contenuti dell’eventuale accordo internazionale in base al quale la richiesta da parte dell’autorità straniera è formulata.
Trasferimento dei dati in assenza di accordo internazionale
Che succede se invece non è possibile identificare un accordo internazionale supportato sia da una valida base giuridica sia dalle garanzie di adeguatezza così come sin qui esaminate a fronte di una richiesta di trasmissione e/o comunicazione di dati personali? O se la richiesta non è qualificabile come sentenza di una autorità giudiziaria o una decisione di una autorità amministrativa?
Il titolare e/o il responsabile dovranno procedere direttamente con la verifica della sussistenza di una base giuridica valida e, in caso affermativo, valutare se la richiesta proviene da un’autorità od organismo che soddisfi le regole generali sui trasferimenti verso Paesi terzi di cui al Capo V GDPR, escluso chiaramente l’articolo 48 in combinato disposto con l’articolo 46(2)(a).
In merito alle basi giuridiche di cui agli articoli 6(1)(c) e 6(1)(e) del GDPR vale quanto considerato nel paragrafo 3 che precede, seppure è verosimile che in assenza di un accordo tra Stati, la base giuridica “obbligo di legge” previsto dal 6(1)(c) sia da escludere a monte, posto che la legge cui si fa riferimento, non è una legge straniera, ma un atto giuridico vincolante per il soggetto UE che riceve la richiesta.
Quanto all’articolo 6(1)(f), invece, relativo al legittimo interesse, questo potrà essere invocato solo in situazioni eccezionali, subordinate a un bilanciamento rigoroso degli interessi coinvolti, e comunque non per trasferimenti sistematici o su larga scala. Tanto è vero che l’interesse non può essere considerato legittimo, laddove si limiti a considerare la prospettiva del titolare e/o del responsabile quale quella, ad esempio, di evitare eventuali conseguenze in caso di mancato ottemperamento della richiesta da parte dell’organismo e/o autorità del Paese Terzo.
In quest’ottica si richiama anche la Sentenza della Corte di Giustizia Europea del 4 luglio 2023, Meta Platforms Inc e altri contro Bundeskartellamt, causa C-252/21, par. 124 e 132, che ha condannato la raccolta e la conservazione di dati personali in modo preventivo al fine di poter condividere tali informazioni, su richiesta, con le autorità incaricate qualora tali attività di trattamento non siano correlate alle proprie attività (economiche e commerciali) e finalità del trattamento.
Qualora si valutasse di fondare il trasferimento sul legittimo interesse, è consigliabile procedere con una effettiva valutazione di impatto sulla protezione dei dati avuto riguardo dei diritti fondamentali dell’interessato rispetto agli asseriti interessi legittimi. Le Linee Guida non richiamano espressamente l’articolo 35 del GDPR a riguardo, ma richiedono espressamente e generalmente una valutazione in merito all’effettivo bilanciamento dei diversi interessi sottesi, libertà fondamentali vs interesse legittimo – e pertanto tale valutazione, per essere completa e sostenibile, non potrà che essere eseguita avuto riguardo dei criteri – per quanto applicabili – stabiliti all’ articolo 35, in particolare al comma 7.
Analisi delle basi giuridiche alternative e loro limiti
Altra base giuridica da valutare è quella relativa all’articolo 6(1)d a tutela di interessi vitali della persona interessata e/o di altre persone fisiche, si pensi ad esempio alla ricerca di minori scomparsi. Si specifica tuttavia che per quanto riguarda l’interesse vitale di altre persone, l’EDPB nelle Linee Guida ricorda che “il trattamento di dati personali basato sull’interesse vitale di un’altra persona fisica dovrebbe avvenire, in linea di principio, solo quando il trattamento non può essere manifestamente fondato su un’altra base giuridica”.
L’uso del consenso di cui all’ articolo 6(1)(a) della persona interessata, è possibile solo in casi residuali e valutati caso per caso, ricordando però come il consenso non è mai considerato base giuridica valida nei contesti in cui l’autorità straniera eserciti poteri coercitivi o autoritari (es. polizia, giustizia penale), in quanto il consenso non può essere considerato liberamente prestato in tali circostanze.
Se non è possibile identificare una base giuridica valida, il trasferimento e/o comunicazione di dati personali all’autorità richiedente, non potrà essere ritenuto legittimo e il quindi il titolare e/o il responsabile del trattamento, dovranno negare l’accesso ai dati richiesti, senza che sia necessario procedere col secondo passaggio di valutazione relativo alla sussistenza delle garanzie di cui al Capo V del GDPR.
Verifica delle garanzie di trasferimento ai sensi del capo V Gdpr
Se invece una base giuridica legittima è stata identificata, si passerà al vaglio dei contenuti del Capo V, ossia si dovranno verificare se sussistano altri istituti che permettano il trasferimento, quali (i) una decisione di adeguatezza della Commissione Europea ai sensi dell’articolo 45 GDPR oppure, in assenza di una tale decisione (ii) garanzie appropriate verificabili attraverso gli strumenti di cui agli articoli 46 e 47 GDPR, quali ad esempio, accordi nel caso specifico tra il titolare e/o il responsabile del trattamento e l’autorità richiedente l’accesso ai dati personali contenenti clausole di protezione dei dati adottate dalla Commissione, ovvero l’utilizzo di norme vincolanti l’impresa (più note come Binding Corporate Rules – BCR) approvate o, ancora, l’esistenza di un Codice di Condotta unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate. Chiaramente dall’articolo 46 è esclusa l’ipotesi dello strumento di cui al comma 2(a) ossia accordi tra organismi pubblici, che riguarda specificatamente i requisiti dei contenuti degli accordi internazionali di cui all’articolo 48.
Se nemmeno gli articoli 46 e 47 possono trovare applicazione, si dovrà prendere in considerazione (iii) l’articolo 49 del GDPR che contiene deroghe applicabili in via eccezionale per situazioni sporadiche e non sistematiche (es. interessi vitali, pubblico interesse rilevante, accertamento o difesa di diritti legali) e che talvolta coincidono con le stesse basi giuridiche sopra richiamate, fermo restando che in presenza di un rischio di lesione delle libertà e dei diritti fondamentali di individui, il trasferimento non potrà avere luogo.
Sanzioni per violazione dell’articolo 48 Gdpr e norme correlate
Il mancato rispetto delle disposizioni del Capo V,del GDPR unita all’assenza di una legittima base giuridica, comporta il rischio di sanzioni gravi per il titolare e/o il responsabile del trattamento. L’articolo 83(5)(c) prevede sanzioni amministrative fino a 20 milioni di Euro o, fino al 4% del fatturato mondiale annuo se superiore.
La posizione dell’Edpb e il ruolo dei soggetti privati
Tenuto conto che le Linee Guida dell’EDPB si rivolgono ai soggetti privati, attribuendo quindi un onere non indifferente di capacità di valutazione della legittimità delle richieste provenienti da autorità straniere, che ben potrebbero minacciare anche conseguenze a danno del titolare e/o del responsabile che si rifiutasse di ottemperare, la via preferenziale – in presenza di un accordo internazionale che non preveda espressamente la possibilità di formulare richieste a privati e come premesso – dovrebbe essere quella di non esaudire direttamente le richieste, ma deferire l’autorità richiedente al canale formale previsto, ad esempio tramite MLAT.
Altrimenti, il titolare e/o il responsabile europeo dovranno seguire l’iter previsto dalle Linee Guida e nel riscontrare l’autorità straniera richiedente, dovranno preliminarmente indicare che per poter validamente trasmettere e/o comunicare i dati richiesti – sia in presenza che in assenza di un accordo internazionale – sarà necessario procedere con le verifiche sin qui descritte, eventualmente con la collaborazione dell’autorità straniera richiedente stessa.
Infine, e in ogni caso, in caso di qualsiasi dubbio è sempre opportuno consultare le autorità nazionali competenti, come il Ministero della Giustizia e/o la stessa Autorità Garante Privacy.
