Protezione dei dati personali: nuove linee guida sui trasferimenti verso paesi terzi e materiali formativi su IA e privacy

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il 5 giugno 2025 la versione finale delle linee guida relative all’articolo 48 del GDPR, riguardante i trasferimenti di dati personali verso autorità di paesi terzi, a seguito di una consultazione pubblica. Nel corso della stessa sessione plenaria, l’EDPB ha inoltre presentato due progetti formativi nell’ambito dell’iniziativa Support Pool of Experts (SPE), volti a rafforzare le competenze su intelligenza artificiale e protezione dei dati personali. È stato infine discusso il parere congiunto, in preparazione con il Garante europeo della protezione dei dati (EDPS), sul progetto di semplificazione degli obblighi di tenuta dei registri previsto dall’art. 30(5) del GDPR.

Le linee guida aggiornate sui trasferimenti verso autorità extra-UE chiariscono le condizioni alle quali le organizzazioni possono rispondere in modo legittimo a richieste provenienti da autorità di paesi terzi. In linea generale, una richiesta di trasferimento da parte di un’autorità estera non è automaticamente riconosciuta o esecutiva nell’Unione europea. La base giuridica preferibile rimane un accordo internazionale; in assenza di tale accordo o in caso di tutela insufficiente, si potrà valutare l’applicazione di basi giuridiche alternative solo in circostanze eccezionali, caso per caso. Tra le novità introdotte, figurano chiarimenti sui ruoli dei responsabili del trattamento (data processor) e sui casi in cui la richiesta provenga dalla casa madre estera che la trasmette alla consociata stabilita in Europa.

L’EDPB ha anche presentato due nuovi strumenti formativi nell’ambito del programma Support Pool of Experts, su richiesta dell’Autorità ellenica per la protezione dei dati (HDPA): il primo, intitolato Law & Compliance in AI Security and Data Protection, è pensato per figure legali come i Responsabili della protezione dei dati (DPO); il secondo, Fundamentals of Secure AI Systems with Personal Data, è rivolto a professionisti tecnici, tra cui esperti di cybersicurezza e sviluppatori di sistemi di intelligenza artificiale ad alto rischio.

Entrambi i rapporti saranno resi disponibili in formato PDF. Considerando la rapida evoluzione delle tecnologie IA, l’EDPB ha annunciato anche un progetto pilota annuale che prevede una versione modificabile dei documenti, accessibile in modalità collaborativa tramite un repository Git. Sarà così possibile proporre modifiche e commenti nel rispetto della licenza Creative Commons Attribution-ShareAlike.

Infine, è stato discusso il progetto della Commissione europea per semplificare gli obblighi di registrazione imposti dal GDPR alle piccole e medie imprese (PMI), alle piccole mid-cap e alle organizzazioni con meno di 750 dipendenti. Tale iniziativa consiste in una modifica mirata dell’articolo 30, paragrafo 5, del regolamento. L’EDPB e l’EDPS renderanno noto il loro parere congiunto entro otto settimane. Una prima valutazione preliminare è già stata condivisa in una lettera del 8 maggio 2025.

L’iniziativa del Support Pool of Experts rientra nella strategia EDPB 2024–2027 per rafforzare le capacità delle autorità garanti della protezione dei dati attraverso strumenti condivisi e l’accesso a competenze specialistiche.

Approfondimenti:

• EDPB publishes final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection
• guidelines on Art.48 GDPR about data transfers to third country authorities