Art. 48 GDPR — Trasferimento o comunicazione non autorizzati dal diritto dell’Unione

Commento

Il problema dei conflitti di giurisdizione

L'art. 48 GDPR affronta uno dei nodi più complessi del data protection contemporaneo: la richiesta di trasferimento da parte di autorità extra-UE. La norma stabilisce che le sentenze di un'autorità giurisdizionale e le decisioni di un'autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali possono essere riconosciute o eseguite soltanto se basate su un accordo internazionale, come un trattato di mutua assistenza giudiziaria, in vigore tra il paese terzo richiedente e l'Unione o uno SM. Il considerando 115 spiega: il riconoscimento extra-UE non può avvenire al di fuori del quadro internazionale.

Sentenze e decisioni di autorità extra-UE

Il problema concreto è la crescita di legislazioni extraterritoriali come il CLOUD Act USA (2018), che consente alle autorità statunitensi di ordinare a provider americani la consegna di dati ovunque conservati, e il FISA (Foreign Intelligence Surveillance Act). Queste leggi creano conflitti con il GDPR: il provider USA è chiesto dalla legge USA di consegnare dati che secondo il GDPR non può trasferire senza base. L'art. 48 stabilisce la regola europea: senza accordo internazionale, la consegna non è autorizzata.

Il principio del par. 1

Il par. 1 si applica a sentenze e decisioni che dispongono il trasferimento di dati. Non si applica a richieste informali o a richieste basate su cooperazione volontaria. La regola opera principalmente come scudo legale: il provider che riceve un ordine extra-UE può opporre l'art. 48 per giustificare la non consegna, salvo che esista accordo internazionale o altra base GDPR (deroghe art. 49 per casi eccezionali). La giurisprudenza ha riconosciuto la possibilità di sfide formali ai sub-poena USA.

Casi paradigmatici (CLOUD Act, FISA)

I casi paradigmatici sono numerosi: ordini del FBI a Microsoft per email conservate in Irlanda (caso Microsoft Ireland, 2018, poi superato dal CLOUD Act); richieste DOJ a cloud provider; ordini FISA su categorie ampie di dati. Le sentenze CGUE Schrems II hanno consolidato che la cifratura E2E con chiave in UE può proteggere effettivamente: se il provider USA non ha la chiave, l'ordine USA non può materialmente eseguirsi. Le supplementary measures dell'art. 46 sono strumento operativo.

Strumenti di tutela

Gli strumenti di tutela per i titolari UE includono: cifratura con chiavi in UE (residenza chiavi); architetture che escludono il provider dall'accesso ai dati in chiaro (zero-knowledge); contratti con provider che si impegnano a opporsi a ordini extra-UE; clausole di notification (il provider notifica al cliente UE ogni richiesta di consegna); piani di emergenza in caso di sub-poena. Il mercato cloud europeo (sovrane cloud) si è sviluppato proprio in risposta a queste preoccupazioni.

Coordinamento con cooperazione internazionale

Il coordinamento con la cooperazione internazionale è essenziale: l'UE ha negoziato e sta negoziando accordi che disciplinano legittimamente i flussi di dati per cooperazione giudiziaria penale (es. Convenzione di Budapest sulla criminalità informatica). L'art. 50 GDPR impegna la Commissione e l'EDPB a promuovere la cooperazione internazionale per la protezione dei dati. Il quadro è in evoluzione, con tensioni geopolitiche crescenti.

Regola pratica e checklist operativa

Compliance art. 48: (i) mapping di provider extra-UE; (ii) valutazione di legislazioni extraterritoriali applicabili; (iii) clausole contrattuali di notification e opposizione; (iv) misure tecniche (cifratura UE, zero-knowledge); (v) piani di emergenza per sub-poena; (vi) valutazione di alternative europee sovrane; (vii) integrazione con TIA art. 46. Architettura tecnica è strategica.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.