Il 3 dicembre 2024, il GEPD ha adottato linee guida sull’articolo 48 del GDPR e una lettera alla Commissione Europea sulla necessità di monitorare attentamente le condizioni di accesso e utilizzo dei dati personali da parte delle autorità di paesi terzi nel contesto di future revisioni dei dati personali.
Lettera alla Commissione Europea sulla revisione di undici decisioni di adeguatezza adottate prima del GDPR
Il 15 gennaio 2024 la Commissione Europea ha concluso la revisione delle undici decisioni di adeguatezza adottate ai sensi della Direttiva 95/46/CE. La Commissione europea ha riscontrato che i dati personali trasferiti dall’Unione europea (UE) ad Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay continuano a beneficiare di un livello adeguato di protezione protezione. Pertanto, tali trasferimenti potranno avvenire senza ulteriori garanzie.
Nel suo rapporto e documento di lavoro , la Commissione europea ha esaminato i quadri di protezione dei dati negli undici paesi e territori interessati e, per la prima volta, le norme relative all’accesso ai dati personali da parte delle autorità pubbliche di questi paesi per scopi repressivi e di sicurezza nazionale.
Nella sua lettera , il GEPD fornisce alla Commissione osservazioni metodologiche su alcuni aspetti della sua valutazione che avrebbero potuto essere descritti più dettagliatamente: lo Stato di diritto , alcuni elementi del quadro di protezione dei dati ( concetti chiave, basi di liceità, diritti delle persone , garanzie relative al processo decisionale automatizzato, trasferimenti successivi, ecc.), nonché all’accesso e all’utilizzo dei dati personali da parte delle autorità di paesi terzi. Il GEPD ritiene che questi aspetti dovrebbero essere attentamente monitorati dalla Commissione nelle sue future rivalutazioni delle leggi e delle pratiche di paesi e territori terzi.
Questa lettera è stata inviata dal Presidente del GEPD al Commissario europeo alla Giustizia, Michael McGrath, il 5 dicembre 2024.
Linee guida 02/2024 sull’articolo 48 del GDPR
L’articolo 48 del GDPR prevede che “qualsiasi decisione di un tribunale o di un’autorità amministrativa di un paese terzo che imponga al titolare del trattamento o a un subappaltatore di trasferire o divulgare dati personali può essere riconosciuta o in qualsiasi modo esecutiva solo se si basa su una normativa internazionale”. accordo, come un trattato di mutua assistenza giudiziaria, in vigore tra il paese terzo richiedente e l’Unione o uno Stato membro, fatti salvi altri motivi di trasferimento previsti dal presente capo.
Le linee guida 02/2024 mirano a chiarire la logica e lo scopo di questo articolo e a fornire raccomandazioni pratiche ai titolari e ai responsabili del trattamento nell’UE che potrebbero ricevere richieste di comunicazione o trasferimento di dati a carattere personale da parte di autorità di paesi terzi.
Secondo il GEPD, lo scopo dell’articolo 48 è quello di chiarire che le sentenze o le decisioni emanate dalle autorità di paesi terzi non possono essere automaticamente e direttamente riconosciute o eseguite in uno Stato membro dell’UE. Come regola generale, il riconoscimento e l’esecuzione delle sentenze e decisioni straniere sono garantiti dagli accordi internazionali applicabili.
Indipendentemente dall’esistenza di un accordo internazionale applicabile, se un titolare del trattamento o un responsabile del trattamento nell’UE riceve una richiesta di trasmissione di dati personali da un’autorità di un paese terzo e risponde, questo flusso di dati costituisce un trasferimento ai sensi del GDPR e deve rispettare con l’articolo 6 e le disposizioni del capo V.
Un accordo internazionale può costituire sia una base giuridica che uno strumento di trasferimento.
In assenza di un accordo internazionale, o se l’accordo non fornisce una base giuridica ai sensi dell’articolo 6 del GDPR, si potrebbero prendere in considerazione altre basi giuridiche. Allo stesso modo, in assenza di un accordo internazionale o se l’accordo non fornisce garanzie adeguate ai sensi dell’articolo 46 del GDPR, potrebbero applicarsi altri strumenti di trasferimento, comprese le deroghe previste dall’articolo 49 del GDPR.
Le presenti linee guida sono soggette a consultazione pubblica fino al 27 gennaio 2025. I contributi possono essere inviati utilizzando il modulo disponibile sul sito web del GEPD .
https://www.cnil.fr/fr/transferts-de-donnees-hors-de-lue-deux-nouveaux-documents-du-cepd