Lo European data Protection Board, in data 2 dicembre 2024, ha pubblicato le linee guida relative all’applicazione dell’art. 48 del GDPR.
-
- 28 Gennaio 2025
L’articolo 48 GDPR prevede che: “Qualsiasi sentenza di un organo giurisdizionale e qualsiasi decisione di un’autorità amministrativa di un paese terzo che imponga al titolare del trattamento o al responsabile del trattamento di trasferire o divulgare dati personali può essere riconosciuta o in qualsiasi modo esecutiva solo se basata su un accordo internazionale, quale un trattato di mutua assistenza giudiziaria, in vigore tra il paese terzo richiedente e l’Unione o uno Stato membro, fatti salvi altri motivi di trasferimento ai sensi del presente capo”.
Lo scopo di queste linee guida è chiarire la logica e l’obiettivo di questo articolo, inclusa la sua interazione con le altre disposizioni del Capo V del GDPR[1], e fornire raccomandazioni pratiche per titolari e responsabili del trattamento nell’UE che potrebbero ricevere richieste da autorità di paesi terzi divulgare o trasferire dati personali. L’obiettivo principale della disposizione è chiarire che le sentenze o le decisioni delle autorità di paesi terzi non possono essere automaticamente e direttamente riconosciute o eseguite in uno Stato membro dell’UE, sottolineando così la sovranità giuridica rispetto al diritto di paesi terzi. Come regola generale, il riconoscimento e l’esecutività delle sentenze e decisioni straniere sono assicurati dagli accordi internazionali applicabili.
Indipendentemente dall’esistenza di un accordo internazionale applicabile, se un titolare del trattamento o un responsabile del trattamento nell’UE riceve e risponde a una richiesta di dati personali da parte di un’autorità di un paese terzo, tale flusso di dati costituisce un trasferimento ai sensi del GDPR e deve rispettare l’articolo 6 e le disposizioni del Regolamento. Capo V.
Un accordo internazionale può prevedere sia una base giuridica (ai sensi dell’articolo 6(1)(c)[2] o 6(1)(e)[3]) sia un motivo per il trasferimento (ai sensi dell’articolo 46(2)(a)[4]). In assenza di un accordo internazionale, o se l’accordo non prevede una base giuridica ai sensi dell’articolo 6, paragrafo 1, lettera c) o e), si potrebbero prendere in considerazione altre basi giuridiche. Allo stesso modo, se non esiste un accordo internazionale o l’accordo non prevede garanzie adeguate ai sensi dell’articolo 46, paragrafo 2, lettera a), potrebbero applicarsi altri motivi di trasferimento, comprese le deroghe di cui all’articolo 49[5].
Lo EDPB attraverso queste Linee guida prende in esame le richieste che possono provenire da tutti i tipi di autorità pubbliche, nonché le autorità che si occupano delle forze dell’ordine e della sicurezza nazionale; e sono rivolte ai titolari e ai responsabili del trattamento, senza distinzione se appartenenti al settore pubblico o privato.
A norma dell’articolo 48, le sentenze e le decisioni delle autorità di paesi terzi che impongono a un titolare del trattamento o a un responsabile del trattamento nell’UE di trasferire o divulgare dati personali possono essere riconosciute ed eseguite solo se si basano su un accordo internazionale applicabile, come l’assistenza giudiziaria reciproca trattato (MLAT) in vigore tra il Paese richiedente e l’UE o uno Stato membro, fatti salvi altri motivi di trasferimento ai sensi del Capo V del GDPR. Il presente articolo regola l’accesso ai dati personali soggetti alla tutela del GDPR da parte di tribunali e autorità di paesi terzi. Il considerando 115 chiarisce che la disposizione mira a proteggere i dati personali dall’applicazione extraterritoriale di leggi di paesi terzi che “potrebbero violare il diritto internazionale e ostacolare il conseguimento della tutela delle persone fisiche assicurata nell’Unione dal [GDPR]”.
Pertanto, qualora i dati trattati nell’UE siano trasferiti o divulgati in risposta a una richiesta di un’autorità di un paese terzo, tale divulgazione è soggetta al GDPR e costituisce un trasferimento ai sensi del capo V. Ciò significa che, come per qualsiasi trasferimento soggetto al GDPR, deve esserci una base giuridica per il trattamento nell’articolo 6 e un motivo per il trasferimento nel capo V.
L’EDPB ribadisce che una richiesta di un’autorità straniera non costituisce di per sé una base giuridica per il trattamento o un motivo per il trasferimento.
Premesso ciò va chiarito in quali situazioni è applicabile l’art. 48 del GDPR
L’articolo 48 si applica nelle situazioni in cui un titolare del trattamento o un responsabile del trattamento nell’UE riceve una decisione o una sentenza da un’autorità amministrativa o da un tribunale di un paese terzo che richiede il trasferimento o la divulgazione di dati personali. La formulazione della disposizione, “corte”, “tribunale” e “autorità amministrativa”, si riferisce ad un ente pubblico di un Paese terzo. L’EDPB ritiene che la terminologia utilizzata dall’ente pubblico del paese terzo per qualificare la sua richiesta come “decisione” o “sentenza” non è decisiva per l’applicazione dell’articolo 48, purché si tratti di una richiesta ufficiale di un’autorità di un paese terzo.
L’EDPB ritiene che la formulazione dell’articolo 48 comprenda ogni possibile modalità con cui un titolare del trattamento o un responsabile del trattamento nell’UE potrebbe rendere i dati personali accessibili a un’autorità di un paese terzo.
L’articolo 48 non limita le finalità per le quali i dati possono essere richiesti dall’autorità del paese terzo. Pertanto, le richieste provenienti dalle autorità di paesi terzi emesse in contesti diversi e per scopi diversi rientrerebbero nell’ambito di applicazione della disposizione, ad es. richieste da parte delle forze dell’ordine o delle autorità di sicurezza nazionale, dei regolatori finanziari o delle autorità pubbliche responsabili dell’approvazione dei prodotti farmaceutici.
L’articolo 48 non distingue tra la situazione in cui un’autorità di un paese terzo richiede a un titolare del trattamento o al responsabile del trattamento nell’UE di trasferire o divulgare dati personali e il titolare del trattamento o il responsabile del trattamento può rifiutarsi di soddisfare la richiesta senza alcuna conseguenza giuridica negativa ai sensi dell’UE o diritto di paesi terzi e la situazione in cui il rifiuto può comportare sanzioni in caso di inosservanza. L’EDPB ricorda che in tutti i casi deve essere applicato un “test in due fasi” quando si tratta di qualsiasi trasferimento di dati personali verso paesi terzi: “in primo luogo, deve esserci una base giuridica per il trattamento dei dati insieme a tutte le disposizioni pertinenti della normativa GDPR; e in secondo luogo, devono essere rispettate le disposizioni del Capo V. Pertanto, il trattamento, ovvero il trasferimento o la divulgazione di dati personali, deve rispettare i principi generali dell’articolo 5 e deve basarsi su una base giuridica come indicato nell’articolo 6 GDPR”.
A quali condizioni titolari e responsabili del trattamento possono rispondere alle richieste delle autorità di paesi terzi?
L’articolo 48 fa parte del capo V del GDPR sui “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” e deve essere letto in combinato disposto con l’articolo 44 GDPR, il quale stabilisce che “qualsiasi trasferimento di dati personali sottoposti a trattamento o sono destinati al trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale avviene solo se, fatte salve le altre disposizioni del presente regolamento, sono rispettate le condizioni previste dal presente capo da parte del titolare e del responsabile del trattamento, anche per trasferimenti successivi di dati personali dal paese terzo o da un’organizzazione internazionale a un altro paese terzo o a un’altra organizzazione internazionale”. Inoltre, il considerando 115 GDPR chiarisce che i trasferimenti dovrebbero essere consentiti solo laddove siano soddisfatte le condizioni del GDPR. Ciò significa che qualsiasi trasferimento o divulgazione di dati personali in risposta a una richiesta di un’autorità di un paese terzo richiede una base giuridica per il trattamento (articolo 6 GDPR) e il rispetto dei requisiti per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (capitolo V GDPR).
Come già accennato, oltre a garantire la conformità al GDPR, un titolare del trattamento o un responsabile del trattamento potrebbe dover rispettare requisiti aggiuntivi derivanti da altri strumenti giuridici, ad es. norme procedurali nazionali o accordi internazionali che prevedono la cooperazione con l’autorità del paese terzo.
Conformità all’Articolo 6 GDPR.
Secondo l’Articolo 44 GDPR, un trasferimento di dati personali verso un paese terzo avrà luogo solo se, fatte salve le altre disposizioni del GDPR, sono rispettate le condizioni del Capo V. Pertanto, il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali deve soddisfare anche le condizioni delle altre disposizioni del GDPR. L’articolo 5, paragrafo 1, del GDPR stabilisce i principi generali e obbligatori per il trattamento dei dati personali. Secondo l’articolo 5, paragrafo 2, il titolare del trattamento è responsabile del rispetto degli obblighi di cui al paragrafo 1 (questo vale anche quando le attività di trattamento sono effettuate tramite un responsabile del trattamento). Secondo l’articolo 5, paragrafo 1, qualsiasi trattamento di dati personali deve avere una base giuridica ai sensi dell’articolo 6. È quindi necessaria un’analisi giuridica per ciascuna situazione specifica
Il caso descritto all’articolo 48 presuppone che vi sia:
– una sentenza di un organo giurisdizionale o
– una decisione di un’autorità amministrativa di un paese terzo,
che imponga a un titolare del trattamento o a un responsabile del trattamento nell’UE di trasferire o divulgare dati personali. Inoltre, tale richiesta di un’autorità di un paese terzo può essere riconosciuta o resa esecutiva solo se si basa su un accordo internazionale, che può conferire a tale richiesta l’effetto di un obbligo legale al quale è soggetto il responsabile del trattamento e la sua inosservanza avrebbe conseguenze legali.
Qualora il trattamento dei dati personali sia effettuato per adempiere a un obbligo legale, l’articolo 6, paragrafo 1, lettera c), fornisce una base giuridica esplicita. Di conseguenza, l’EDPB è del parere che, per il caso delineato all’articolo 48, laddove esista un accordo internazionale applicabile, l’articolo 6, paragrafo 1, lettera c), in combinato disposto con l’articolo 6, paragrafo 3, sarebbe la soluzione giuridica appropriata. base per il trasferimento a condizione che siano soddisfatte le condizioni di queste disposizioni.
Nei casi in cui non esiste alcun obbligo legale derivante da un accordo internazionale per il responsabile del trattamento, il ricorso ad altre basi giuridiche ai sensi dell’articolo 6 rimane possibile, a condizione che siano soddisfatti i requisiti legali stabiliti dal capo V del GDPR. Tuttavia, l’applicazione di queste altre basi giuridiche deve essere esaminata attentamente caso per caso. A causa del gran numero di situazioni possibili, affermazioni generali sull’applicabilità dell’articolo 6 possono essere fatte solo in misura molto limitata.
In linea di principio, il consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), potrebbe essere considerato una base giuridica per un trasferimento verso paesi terzi. Tuttavia, l’utilizzo del consenso come base giuridica sarà solitamente inappropriato in alcuni ambiti, soprattutto se il trattamento dei dati è legato all’esercizio di poteri autoritativi.
L’applicazione dell’art. 6, n. 1, lett. b), sembra essere esclusa già dal suo tenore letterale. L’EDPB è pertanto del parere che un soggetto privato nell’UE non possa invocare l’articolo 6, paragrafo 1, lettera b), come base giuridica adeguata per rispondere a una richiesta di trasferimento o divulgazione da parte di un’autorità di un paese terzo.
Nelle situazioni in cui la divulgazione basata su un accordo internazionale non è obbligatoria, ma tale cooperazione è comunque consentita dal diritto dell’UE o degli Stati membri, l’articolo 6, paragrafo 1, lettera e), potrebbe essere utilizzato come base giuridica per il trattamento dei dati personali poiché può ritenersi necessario per l’adempimento del compito svolto nel pubblico interesse10. In tali casi, il trattamento deve avere una base nel diritto dell’Unione o degli Stati membri come richiesto dall’articolo 6, paragrafo 3, GDPR.
Per quanto riguarda l’articolo 6, paragrafo 1, lettera d), l’EDPB riconosce che, in circostanze specifiche e accertate, gli interessi vitali dell’interessato potrebbero essere citati come base giuridica per un trasferimento di dati personali innescato da una richiesta di un paese terzo purché siano soddisfatte le condizioni previste dal diritto internazionale. Per quanto riguarda l’interesse vitale di altre persone, l’EDPB ricorda che “il trattamento di dati personali basato sull’interesse vitale di un’altra persona fisica dovrebbe, in linea di principio, aver luogo solo laddove il trattamento non possa essere manifestamente basato su un’altra base giuridica”.
L’EDPB parte dal presupposto che potrebbe essere possibile fare affidamento sull’articolo 6, paragrafo 1, lettera f), per trasferimenti o comunicazioni alle autorità di paesi terzi in circostanze eccezionali. A tal fine, l’EDPB ricorda che qualsiasi trattamento basato sugli interessi legittimi del titolare del trattamento o di terzi deve essere necessario e contemperato con gli interessi o i diritti e le libertà fondamentali dell’interessato.
L’esito del test comparativo determina se è possibile invocare la base giuridica dell’interesse legittimo per il trattamento.
In linea di principio, qualsiasi trattamento basato sul legittimo interesse è in ogni caso limitato a quanto dimostrabilmente necessario per perseguire tale specifico interesse del titolare del trattamento o di terzi.
Nonostante il fatto che un responsabile del trattamento, in alcuni casi, possa avere un interesse legittimo a soddisfare una richiesta di comunicazione di dati personali ad un’autorità di un paese terzo, un operatore economico privato, che agisce in qualità di responsabile del trattamento, non può invocare l’articolo 6, paragrafo 1. (f) per la raccolta e l’archiviazione preventiva di dati personali al fine di poter condividere tali informazioni, su richiesta, con le autorità di contrasto al fine di prevenire, accertare e perseguire reati, laddove tali attività di trattamento non siano correlate alla propria effettiva (economica e commerciale) attività. Inoltre, l’EDPB, rispetto ad una situazione specifica, ha precedentemente ritenuto che gli interessi o i diritti e le libertà fondamentali dell’interessato in quelle particolari circostanze prevarrebbero sull’interesse del responsabile del trattamento di aderire alla richiesta di un’autorità di contrasto di un paese terzo al fine di evitare sanzioni per inadempienza
Conformità al Capo V GDPR
Come già indicato sopra, l’articolo 48 deve essere letto in combinato disposto con l’articolo 44. L’articolo 44 stabilisce le seguenti condizioni per i trasferimenti ai sensi del GDPR: qualsiasi trasferimento è soggetto alle altre disposizioni pertinenti del GDPR e soddisfa le condizioni stabilite nel Capo V (test in due fasi), “al fine di garantire che il livello di protezione delle persone fisiche garantito dal Regolamento non sia compromesso”. Le disposizioni sui trasferimenti internazionali sono progettate per garantire che sia mantenuto l’elevato livello di protezione dei dati personali all’interno dell’UE/SEE quando i dati vengono trasferiti verso paesi terzi con sistemi giuridici e standard di protezione dei dati diversi. A tal fine, il Capo V elenca i motivi dei trasferimenti, a cominciare dalle decisioni di adeguatezza della Commissione europea ai sensi dell’articolo 45. In assenza di una decisione di adeguatezza, garanzie adeguate possono essere previste da uno degli strumenti di trasferimento previsti dall’articolo 46. In assenza di una decisione di adeguatezza o di garanzie adeguate, le deroghe di cui all’articolo 49 potrebbero applicarsi in un numero limitato di situazioni specifiche.
A differenza delle altre disposizioni del capo V, l’articolo 48 non costituisce motivo di trasferimento. La disposizione in sé non contiene garanzie in materia di protezione dei dati, ma chiarisce che le decisioni o le sentenze delle autorità di paesi terzi non possono essere riconosciute o eseguite nell’UE/SEE a meno che un accordo internazionale non lo preveda. Pertanto, prima di rispondere a una richiesta di un’autorità di un paese terzo ai sensi dell’articolo 48, il titolare del trattamento o il responsabile del trattamento nell’UE/SEE deve individuare un motivo applicabile per il trasferimento altrove nel Capo V.
Secondo l’articolo 46, paragrafo 2, lettera a), garanzie adeguate possono essere previste da “uno strumento giuridicamente vincolante ed esecutivo tra autorità o organismi pubblici”, vale a dire un accordo internazionale ai sensi dell’articolo 48. Tali accordi sono conclusi da Stati e tradizionalmente consentono la cooperazione tra autorità pubbliche, ma possono anche prevedere una cooperazione diretta tra soggetti privati e autorità pubbliche. Se un accordo internazionale disciplina la cooperazione tra il titolare del trattamento o il responsabile del trattamento nell’UE/SEE e l’autorità del paese terzo richiedente, tale accordo può fungere da motivo di trasferimento se prevede garanzie adeguate ai sensi dell’articolo 46, paragrafo 2, lettera a).
L’EDPB ha elaborato un elenco di garanzie minime da includere negli accordi internazionali che rientrano nell’articolo 46, paragrafo 2, lettera a). Tali garanzie devono essere in grado di garantire che agli interessati i cui dati personali vengono trasferiti sia concesso un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE/SEE. Di conseguenza, gli accordi internazionali che prevedono il trasferimento di dati personali dovrebbero, tra l’altro, richiedere che entrambe le parti garantiscano i principi fondamentali della protezione dei dati, vale a dire garantire diritti applicabili ed effettivi agli interessati, contenere restrizioni sui trasferimenti successivi e sulla condivisione dei dati, comprese garanzie aggiuntive per i dati sensibili e fornire meccanismi di ricorso e di supervisione indipendenti. Le garanzie adeguate possono essere incluse direttamente nell’accordo internazionale, che prevede la cooperazione diretta tra il titolare del trattamento o il responsabile del trattamento e le autorità del paese terzo, o in uno strumento giuridicamente vincolante separato.
L’articolo 48 fa riferimento ad un accordo internazionale “fatti salvi altri motivi di trasferimento ai sensi del presente Capo”. Secondo l’EDPB, per quanto riguarda i requisiti del Capo V20, questa formulazione potrebbe coprire due possibili situazioni: – – In primo luogo, se non esiste un accordo internazionale che preveda la cooperazione tra il titolare del trattamento o il responsabile del trattamento e l’autorità del paese terzo, un trasferimento a un l’autorità di un paese terzo deve basarsi su un’altra base giuridica ai sensi dell’articolo 6 GDPR e su un altro motivo per il trasferimento di cui al capo V. In secondo luogo, se esiste un accordo internazionale che fornisce la base giuridica ai sensi dell’articolo 6, ma non contiene le garanzie adeguate ai sensi con l’art 46(2)(a) e delle Linee guida EDPB 2/2020, il titolare del trattamento deve individuare un altro motivo per il trasferimento nel Capo V.
In assenza di una decisione di adeguatezza applicabile21 o di garanzie adeguate, l’articolo 49 GDPR offre un numero limitato di specifiche situazioni in cui possono aver luogo trasferimenti, ad esempio se sono necessari per importanti motivi di interesse pubblico o per l’accertamento dell’esercizio o della difesa di un diritto in sede giudiziaria22. Tuttavia, come spiegato nelle precedenti linee guida emesse dall’EDPB, le deroghe di cui all’articolo 49 GDPR devono essere interpretate in modo restrittivo e riguardano principalmente attività di trattamento occasionali e non ripetitive.
IN QUALI SITUAZIONI È APPLICABILE L’ARTICOLO 48?
L’articolo 48 si applica nelle situazioni in cui un titolare o un responsabile del trattamento nell’UE riceve una decisione o una sentenza da un’autorità amministrativa o da un tribunale di un paese terzo che richiede il trasferimento o la divulgazione di dati personali.[6]
L’articolo 48 non limita le finalità per le quali i dati possono essere richiesti dall’autorità del paese terzo. Pertanto, le richieste delle autorità di paesi terzi emesse in contesti diversi e per scopi diversi rientrerebbero nell’ambito di applicazione della disposizione, ad esempio richieste da parte di autorità di contrasto o di sicurezza nazionale, regolatori finanziari o autorità pubbliche responsabili dell’approvazione di prodotti farmaceutici.
L’articolo 48 non distingue tra la situazione in cui un’autorità di un paese terzo richiede a un titolare o a un responsabile del trattamento nell’UE di trasferire o divulgare dati personali, e il titolare o il responsabile del trattamento può rifiutarsi di soddisfare la richiesta senza conseguenze legali negative ai sensi del diritto dell’UE o del paese terzo, e la situazione in cui il rifiuto può comportare sanzioni per mancato rispetto. L’EDPB ricorda che in tutti i casi deve essere applicato un “test a due fasi” quando si tratta di qualsiasi trasferimento di dati personali verso paesi terzi: “innanzitutto, deve esserci una base giuridica per il trattamento dei dati insieme a tutte le disposizioni pertinenti del GDPR; e in secondo luogo, devono essere rispettate le disposizioni del Capitolo V. Pertanto, il trattamento, cioè il trasferimento o la divulgazione di dati personali, deve aderire ai principi generali dell’articolo 5 e deve basarsi su una base giuridica come indicato nell’articolo 6 del GDPR”.
[1] Il Capo V del GDPR è rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”.
[2] Articolo 6 Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti
condizioni: (C40)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
[3] Articolo 6 Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
[4] Articolo 46 Trasferimento soggetto a garanzie adeguate (C108, C109, C114)
2. Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo:
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
[5] Articolo 49 Deroghe in specifiche situazioni (C111-C114)
1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f ) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri. Se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento
degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare del trattamento informa del trasferimento l’autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti.
2. Il trasferimento di cui al paragrafo 1, primo comma, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i
destinatari.
3. Il primo comma, lettere a), b) e c), e il secondo comma del paragrafo 1 non si applicano alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.
4. L’interesse pubblico di cui al paragrafo 1, primo comma, lettera d), è riconosciuto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
5. In mancanza di una decisione di adeguatezza, il diritto dell’Unione o degli Stati membri può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale. Gli Stati membri notificano tali disposizioni alla Commissione.
6. Il titolare del trattamento o il responsabile del trattamento attesta nel registro di cui all’articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo.
[6] La formulazione della disposizione, “tribunale”, “corte” e “autorità amministrativa”, si riferisce a un ente pubblico in un paese terzo. L’EDPB ritiene che la terminologia utilizzata dall’ente pubblico del paese terzo per qualificare la sua richiesta come “decisione” o “sentenza” non sia decisiva per l’applicazione dell’articolo 48, purché si tratti di una richiesta ufficiale da parte di un’autorità di un paese terzo. L’EDPB considera che la formulazione dell’articolo 48 comprenda ogni possibile modo in cui un titolare o un responsabile del trattamento nell’UE potrebbe rendere accessibili i dati personali a un’autorità di un paese terzo.
