14 Dicembre 2025
CopertinaPrivacy
Le nuove linee guida EDPB chiariscono come gestire richieste estere di dati personali: sovranità, obblighi legali e garanzie nel GDPR.

Le nuove linee guida EDPB sull’art. 48 GDPR: una guida essenziale per tutelare la sovranità digitale europea

Adottate il 4 giugno 2025, le Linee guida 02/2024 del Comitato europeo per la protezione dei dati (EDPB) rappresentano un documento cruciale per interpretare l’articolo 48 del GDPR. L’obiettivo è chiaro: preservare l’autonomia giuridica dell’Unione europea dalle pretese di accesso ai dati personali da parte di autorità pubbliche di paesi terzi.

📌 Cosa stabilisce l’articolo 48 GDPR?

L’articolo 48 prevede che nessuna decisione giudiziaria o amministrativa di uno Stato terzo possa imporre il trasferimento o la divulgazione di dati personali a titolari o responsabili stabiliti nell’Unione, salvo che esista un accordo internazionale vincolante, come un mutual legal assistance treaty (MLAT).

In assenza di tale accordo, ogni richiesta estera non ha effetti vincolanti e non può giustificare un trasferimento di dati, neppure in caso di sanzioni per mancata collaborazione.

⚖️ Sovranità giuridica e principio del due tempi

Il documento ribadisce un principio fondamentale: qualunque trasferimento deve rispettare un doppio requisito:

  1. un fondamento giuridico valido ai sensi dell’articolo 6 del GDPR (es. obbligo legale, interesse pubblico, legittimo interesse);
  2. una base legittima per il trasferimento internazionale, come previsto dal Capo V del GDPR (decisione di adeguatezza, clausole standard, deroghe ex art. 49).

🚫 Illeciti trasferimenti su richiesta diretta di autorità estere

Le linee guida analizzano anche scenari frequenti in cui un’autorità di un paese terzo richiede direttamente a un’azienda europea l’accesso a dati personali. In particolare, secondo l’EDPB:

  • non esiste alcuna automatica obbligatorietà a rispondere, neanche se la richiesta è formulata come “decisione”;
  • in questi casi, il titolare del trattamento dovrebbe indirizzare l’autorità richiedente verso le procedure di cooperazione internazionale previste da trattati esistenti.

🛡️ Garanzie minime richieste dagli accordi internazionali

Perché un accordo internazionale sia valido ai fini dell’art. 48, esso deve includere specifiche garanzie, tra cui:

  • principi fondamentali di protezione dei dati (liceità, proporzionalità, minimizzazione);
  • diritti effettivi ed esercitabili per gli interessati;
  • limitazioni ai trasferimenti successivi e tutela rafforzata per dati sensibili;
  • meccanismi di ricorso e supervisione indipendente.

In mancanza di tali garanzie, non è possibile effettuare il trasferimento nemmeno se formalmente previsto da un accordo.

⚙️ Raccomandazioni pratiche per aziende e professionisti

L’EDPB fornisce indicazioni concrete per i titolari e responsabili del trattamento:

  • verificare l’esistenza e la natura dell’accordo internazionale prima di valutare la liceità di un trasferimento;
  • contattare le autorità nazionali competenti (es. Ministeri, Garante Privacy) in caso di dubbi;
  • in assenza di accordo: rifiutare la richiesta e documentare il rifiuto, citando l’art. 48 GDPR.

🧭 Conclusione

Le nuove linee guida segnano una netta presa di posizione dell’Unione europea contro l’invasività giurisdizionale di Stati terzi, in particolare in materia di accesso ai dati da parte di autorità straniere. L’art. 48 GDPR assume così una funzione di baluardo normativo contro ingerenze extraterritoriali, tutelando la riservatezza dei cittadini europei e la coerenza del sistema normativo interno.

Per i professionisti della privacy e per le imprese, la comprensione e corretta applicazione dell’articolo 48 è ormai imprescindibile.

📌 ATTENZIONE: c’è un contenuto esclusivo per i soci ITADINT!

Se sei dei nostri, nel gruppo Telegram ufficiale è disponibile un approfondimento operativo su come aggiornare le tue procedure interne alla luce di queste nuove linee guida! Non sei ancora dei nostri? Premi qui per associarti!

Sull'autore

Anna Esposito

See author's posts

Tags:

Correlati

la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: uso illecito dei messaggi privati della dipendente — sanzionata una grande società concessionaria di infrastrutture stradali

10 Dicembre 2025 0
raccomandazione

Obbligo di creare un account negli e-commerce: le nuove raccomandazioni 2025 dell’EDPB e le loro implicazioni

5 Dicembre 2025 0

Contributi che potresti non aver letto

website-6700615_1920

Digital Omnibus: una svolta decisiva per un ecosistema digitale più semplice e competitivo

12 Dicembre 2025 0
la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: uso illecito dei messaggi privati della dipendente — sanzionata una grande società concessionaria di infrastrutture stradali

10 Dicembre 2025 0
raccomandazione

Obbligo di creare un account negli e-commerce: le nuove raccomandazioni 2025 dell’EDPB e le loro implicazioni

5 Dicembre 2025 0
la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: campione chirurgico distrutto e DVD sanitario smarrito — sanzionato un importante ospedale privato del Nord Italia

3 Dicembre 2025 0
professional vector illustration showing a stylized european map overlapped by a shield made of binary code. inside the shield, icons representing insurance (a briefcase), artific

Opportunità e rischi dell’intelligenza artificiale assicurativa

28 Novembre 2025 0
la sanzione del mercoled

LA SANZIONE DEL MERCOLEDÌ: telemarketing aggressivo, consensi inesistenti e liste opache — sanzionata azienda del settore energia

26 Novembre 2025 0