Nella sessione plenaria del 2-3. Nel dicembre 2024, il Comitato europeo per la protezione dei dati (EDPB) ha adottato orientamenti sull’articolo 48 del regolamento sulla protezione dei dati, che riguarda la situazione in cui un’autorità di un paese terzo (un paese al di fuori dell’UE) sulla base di una sentenza o decisione richiede un il titolare o il responsabile del trattamento dei dati nell’UE fornisce dati personali.
Il messaggio principale della guida è che l’articolo 48 è principalmente un chiarimento di ciò che già si applica ai sensi del diritto internazionale e delle norme sulla protezione dei dati. In altre parole, la disposizione ricorda che le sentenze e le decisioni delle autorità di paesi terzi possono essere riconosciute o eseguite in uno Stato membro dell’UE solo se ciò è previsto in un accordo internazionale tra il paese terzo e lo Stato membro interessato (o l’UE). Se un titolare del trattamento o un responsabile del trattamento dei dati nell’UE fornisce dati personali a un’autorità di un paese terzo, si tratterà di un trasferimento verso un paese terzo ai sensi del regolamento sulla protezione dei dati, che richiede sia una base di trattamento di cui all’articolo 6 sia un base di trasferimento nel capitolo V.
Se tra il Paese terzo e lo Stato membro interessato (o l’UE) è stato concluso un accordo internazionale, questo costituirà, a seconda delle circostanze, sia la base necessaria per il trattamento che la base per il trasferimento. In caso contrario, occorre verificare se è possibile utilizzare altre basi di trattamento e di trasferimento previste dal regolamento sulla protezione dei dati. Se anche questo non è possibile, i dati personali non possono essere trasferiti al paese terzo.
La guida è ora in consultazione pubblica fino al 27 gennaio 2025. Puoi trovarla qui