Le linee guida EDPB n. 2/2024 (in pubblica consultazione) sull’ articolo 48 del GDPR ribadiscono un principio fondamentale e cioè che una decisione giudiziaria straniera o una richiesta di un’autorità extra UE non costituiscono di per sé un presupposto di liceità per il trasferimento di dati personali.
La disposizione, come chiarito dalle stesse linee guida, non si limita a stabilire regole tecniche per il trasferimento di dati personali verso paesi terzi: essa assume un significato profondo, riaffermando il primato del diritto europeo contro l’ingerenza di normative straniere.
Vero è, infatti, che la regolazione dei flussi transnazionali di dati personali rappresenta uno degli snodi fondamentali per affermare l’autonomia giuridica dell’Unione Europea.
L’articolo 48 del GDPR si erge, quindi, come una testimonianza eloquente della determinazione dell’Unione Europea nel preservare l’autonomia del proprio ordinamento giuridico, tutelando i diritti fondamentali anche in un contesto transnazionale sempre più complesso.
Indice degli argomenti
Il legame tra sovranità giuridica e protezione dei diritti fondamentali
L’articolo 48 del GDPR rappresenta una reazione giuridicamente sofisticata alla crescente tendenza dei paesi terzi ad esercitare un controllo extraterritoriale sui dati personali, spesso in violazione degli standard internazionali.
Stabilendo che i trasferimenti di dati verso autorità di Stati non appartenenti all’UE debbano poggiare su accordi internazionali specifici, l’articolo rende esplicito il legame tra sovranità giuridica e protezione dei diritti fondamentali. In tale prospettiva, il GDPR non solo regola, ma protegge, con un’attenzione costante al principio della proporzionalità e alla centralità della persona.
La tutela dei dati si intreccia con le dinamiche geopolitiche
Le Linee guida dell’EDPB sviluppano un quadro interpretativo che evidenzia come la tutela dei dati personali si intrecci con le dinamiche geopolitiche. Esse rafforzano il concetto che qualsiasi trasferimento di dati debba rispettare standard rigorosi, evitando la subalternità del diritto europeo a normative esterne.
Al cuore di questa regolazione vi è il riconoscimento dell’identità europea come custode dei diritti fondamentali, contro ogni forma di subordinazione economica o tecnologica.
La disposizione in esame stabilisce che nessuna decisione giurisdizionale o amministrativa di paesi terzi può essere riconosciuta o eseguita nell’UE, a meno che non sia fondata su un accordo internazionale in vigore.
In tal modo, si pone una barriera all’intrusione normativa, riaffermando l’autonomia dell’ordinamento giuridico europeo rispetto alle pressioni di attori esterni.
Questo principio mira a preservare l’integrità del quadro giuridico europeo e a evitare che normative incompatibili con i valori e gli standard europei possano essere imposte attraverso sentenze o decisioni amministrative straniere.
Articolo 48 GDPR: un’affermazione di sovranità giuridica
In un contesto in cui i dati personali rappresentano una risorsa strategica tanto quanto un diritto fondamentale, l’Unione Europea riafferma, con questa disposizione, il primato del proprio diritto interno come unico quadro entro cui bilanciare diritti, interessi economici e sicurezza.
La norma stabilisce un principio essenziale: i trasferimenti di dati personali richiesti da autorità straniere possono essere riconosciuti o eseguiti solo se fondati su un accordo internazionale in vigore tra l’UE (o uno Stato membro) e il paese richiedente.
Questo non è solo un meccanismo tecnico, ma una vera affermazione di sovranità giuridica, che si traduce nella negazione dell’efficacia diretta di atti stranieri incompatibili con il diritto europeo.
Il fondamento di questa scelta risiede nella difesa dell’ordinamento europeo da interferenze esterne che potrebbero violare il principio di proporzionalità e ledere i diritti fondamentali dei cittadini, a partire dal diritto alla protezione dei dati sancito dall’articolo 8 della Carta dei Diritti Fondamentali.
La rilevanza costituzionale dell’articolo 48 si manifesta nella sua capacità di definire un confine giuridico invalicabile, attraverso il quale l’UE protegge non solo i propri standard normativi, ma anche il valore intrinseco della dignità del cittadino europeo.
Non si tratta di un semplice esercizio di competenza, ma di una riaffermazione del principio secondo cui le norme europee, in quanto espressione di diritti fondamentali, non possono essere subordinate ad altre legislazioni.
In questo senso, la norma riafferma la centralità della persona e della sua privacy come elemento non negoziabile di un sistema giuridico fondato sulla tutela dei diritti umani.
L’innovazione giuridica dell’articolo 48 risiede nella subordinazione di ogni trasferimento di dati agli accordi internazionali. Questa subordinazione non è un atto di chiusura verso il mondo esterno, bensì una strategia giuridica per definire regole del gioco condivise.
Gli accordi internazionali non sono semplici formalità, ma strumenti che garantiscono l’equivalenza degli standard di protezione, evitando che normative straniere possano prevalere sulla volontà sovrana degli Stati membri.
Essi vincolano entrambe le parti a rispettare principi chiari, in un equilibrio che non consente eccezioni unilaterali.
Il GDPR a tutela dell’imposizione di normative di Stati terzi
Le Linee guida 02/2024 del Comitato Europeo per la Protezione dei Dati (EDPB) offrono un’interpretazione rigorosa dell’articolo 48 del GDPR, chiarendo il ruolo di questa norma come strumento di tutela contro l’imposizione extraterritoriale di normative di Stati terzi.
Il principio sancito dall’articolo è netto: le decisioni di autorità straniere, siano esse giudiziarie o amministrative, non possono essere automaticamente riconosciute né eseguite nell’Unione Europea.
Tali richieste devono trovare il loro fondamento in un accordo internazionale specifico, come un trattato di mutua assistenza giudiziaria (MLAT) o un altro strumento giuridico che regoli la cooperazione tra le parti.
Le Linee guida precisano che questo meccanismo non è limitato a un determinato tipo di autorità o decisioni. Ogni richiesta proveniente da un’autorità di uno Stato terzo – incluse quelle relative alla sicurezza nazionale, alla regolamentazione economica o alla supervisione fiscale – deve rispettare la stessa logica.
Non si tratta solo di proteggere la sovranità normativa dell’UE, ma di garantire che i trasferimenti di dati personali verso l’esterno rispettino i principi di necessità e proporzionalità, previsti dal GDPR.
Inoltre, l’EDPB sottolinea che, in assenza di un accordo internazionale valido, tali trasferimenti possono avvenire solo se sono rispettate le altre condizioni del Capitolo V del GDPR, come l’adozione di adeguate garanzie contrattuali o l’applicazione delle deroghe dell’Articolo 49 in casi eccezionali e non ripetitivi.
Ciò rafforza l’autonomia giuridica dell’Unione e protegge i dati dei cittadini europei da normative che potrebbero essere meno garantiste rispetto al quadro europeo.
L’UE è custode dei diritti fondamentali
Infine, il documento evidenzia come la ratio dell’Articolo 48 sia quella di evitare che normative straniere possano compromettere il livello di protezione dei dati garantito dal GDPR.
L’Unione si pone così come custode dei diritti fondamentali, limitando la possibilità che decisioni esterne trovino applicazione senza essere filtrate attraverso il prisma di accordi che rispettino i principi europei. Questa lettura conferma che l’articolo 48 non è una barriera alla cooperazione, bensì un meccanismo per assicurare che tale cooperazione avvenga nel rispetto di standard condivisi e non imposti unilateralmente.
Dal punto di vista procedurale, le Linee guida 02/2024 del Comitato Europeo per la Protezione dei Dati (EDPB) chiariscono in dettaglio il perimetro applicativo dell’Articolo 48 del GDPR, individuando i casi in cui le richieste di trasferimento o divulgazione di dati personali provenienti da autorità di Stati terzi attivano le garanzie previste da questa disposizione.
Innanzitutto, non è rilevante la forma giuridica assunta dalla richiesta: siano esse decisioni giudiziarie, ordini amministrativi o atti esecutivi, tali richieste ricadono nel campo di applicazione dell’articolo 48, a condizione che esse impongano obblighi diretti su soggetti giuridici europei.
Ciò include, ad esempio, i casi in cui le autorità straniere agiscono per finalità di regolamentazione economica, supervisione fiscale o sicurezza nazionale.
Tuttavia, il Comitato sottolinea che il GDPR non si applica nei casi in cui lo scambio di dati avvenga direttamente tra autorità pubbliche di Stati membri e di paesi terzi nell’ambito di accordi internazionali preesistenti, come i trattati di mutua assistenza giudiziaria.
Doppio test per determinare la liceità delle richieste di trasferimento dati
Le Linee guida pongono l’accento sulla necessità di rispettare un rigoroso doppio test per determinare la liceità di tali richieste.
In primo luogo, il trattamento dei dati deve essere conforme a una delle basi giuridiche previste dall’Articolo 6 GDPR. In secondo luogo, il trasferimento deve rispettare le condizioni del Capitolo V del GDPR, che includono, tra l’altro, l’esistenza di adeguate garanzie, come decisioni di adeguatezza della Commissione Europea o strumenti contrattuali vincolanti.
Il cd. test di bilanciamento richiede una valutazione meticolosa delle circostanze specifiche di ogni richiesta. Le Linee guida sottolineano che qualsiasi trasferimento deve essere strettamente necessario rispetto alle finalità perseguite e proporzionato nel suo impatto sui diritti fondamentali dell’interessato.
Richieste generalizzate o preventive di dati – come quelle avanzate da autorità straniere per motivi di sorveglianza indiscriminata o raccolta massiva di informazioni – sono considerate intrinsecamente illegittime, in quanto incompatibili con i principi del GDPR.
Conclusioni
In questa prospettiva, la tutela dei diritti degli interessati assume un ruolo predominante. La dignità della persona e le sue aspettative legittime rappresentano criteri imprescindibili nella valutazione della liceità del trasferimento.
Le Linee guida richiamano l’attenzione sulla necessità di garantire che gli interessati siano consapevoli delle modalità con cui i loro dati personali vengono trattati e trasferiti, rafforzando così la trasparenza e la fiducia nel sistema normativo europeo.
Un elemento di particolare rilievo delle Linee guida è l’analisi delle richieste provenienti da autorità straniere in assenza di accordi internazionali validi.
In tali casi, l’EDPB raccomanda ai titolari o responsabili del trattamento di rifiutare la richiesta, facendo riferimento all’assenza di un fondamento legale nell’ordinamento europeo.
