La Commissione europea ha adottato il 28 giugno la decisione di adeguatezza per il Regno Unito ai sensi dell’art 45 del GDPR. La decisione è arrivata a due giorni dalla scadenza del cosiddetto “bridge” del 30 giugno e pone fine, per il momento, a un periodo di incertezza determinato dal fatto che, dal primo gennaio 2021, i trasferimenti di dati personali verso il Regno Unito erano disciplinati da un regime provvisorio, previsto dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la c.d. “bridging clause” garantiva la liceità dei flussi di dati tra UE e Regno Unito, ma in via temporanea.
La decisione di adeguatezza permette di garantire la continuità dei trasferimenti di dati personali dall’UE al Regno Unito, evitando uno scenario di no-deal che avrebbe potuto costare all’economia britannica fino a 1,6 miliardi di sterline[2], con forti impatti, di conseguenza, sull’innovazione, la produttività e la competitività economica dell’intera Europa.
Leggi la decisione di adeguatezza – PDF
Cosa dice la decisione della Commissione europea
La Commissione determina, dunque, che nel Regno Unito i dati personali beneficiano di un livello di protezione essenzialmente equivalente a quello garantito dal diritto dell’Unione, con la conseguenza che le imprese e le organizzazioni dell’UE e del SEE potranno trasferire i dati personali in UK senza dover mettere in atto misure aggiuntive con le controparti britanniche, semplificando, così, enormemente gli oneri delle imprese, che, altrimenti, dovrebbero fare affidamento su diversi meccanismi di trasferimento dei dati, come le clausole contrattuali tipo, cui dovrebbero aggiungere, laddove necessario, ulteriori misure tecniche supplementari a integrazione degli strumenti di trasferimento.
Tre anni di GDPR: cosa abbiamo imparato e cosa ci aspetta per il prossimo futuro
La decisione di adeguatezza, tuttavia, inserisce una “sunset clause”, che limita, per la prima volta, la durata della decisione a quattro anni e prevede meccanismi di controllo costante del quadro giuridico su cui si basa la decisione, raccomandando una stretta cooperazione e un continuo scambio informativo tra la Commissione e gli Stati Membri. Qualora la Commissione dovesse verificare che il livello di protezione non è più garantito, potrà sospendere, abrogare o modificare la decisione, contro la quale già diversi attivisti preparano cause legali, ispirati dalla sentenza CJEU Schrems II. La decisione risulta, quindi, fondamentale per uscire da un clima di incertezza e dare maggiore stabilità alle imprese che devono trasferire i dati personali in UK, ma la situazione non sembra del tutto tranquilla e richiede una giusta prudenza da parte delle imprese, che dovranno monitorare eventuali evoluzioni.
I pareri
Il Regno Unito ha già riconosciuto gli stati membri dell’UE e dello SEE come “adeguati”, pertanto l’adozione formale della decisione della Commissione permette un libero flusso di dati personali, fondamentale per il commercio, l’innovazione e gli investimenti in Europa. Věra Jourová, vicepresidente per i valori e la trasparenza, ha dichiarato, come riportato dal The Guardian: “Il Regno Unito ha lasciato l’UE, ma oggi il suo regime giuridico di protezione dei dati personali è lo stesso. Per questo motivo, oggi adottiamo queste decisioni di adeguatezza. Allo stesso tempo, abbiamo ascoltato molto attentamente le preoccupazioni espresse dal Parlamento, dagli Stati Membri e dal Comitato europeo per la protezione dei dati, in particolare sulla possibilità di future divergenze dai nostri standard nel quadro della privacy del Regno Unito. Stiamo parlando di un diritto fondamentale dei cittadini europei, che noi abbiamo il dovere di proteggere. Questo è il motivo per cui abbiamo salvaguardie importanti e se qualcosa dovesse cambiare da parte del Regno Unito, interverremo”.
Dopo il parere dell’EDPB (Opinion 14/2021) del 13 aprile scorso[3] e la recente risoluzione dei MEPs lo scorso 20 maggio, che avevano sollevato diverse perplessità, la decisione non era scontata; tuttavia il commissario per la giustizia Didier Reynders ha rassicurato, affermando, sempre come riportato dal The Guardian: “Dopo mesi di attente valutazioni, oggi possiamo dare ai cittadini dell’UE la certezza che i loro dati personali saranno protetti quando saranno trasferiti nel Regno Unito. Questa è una componente essenziale della nostra nuova relazione con il Regno Unito. È importante per un commercio senza problemi e per una lotta efficace contro il crimine. La Commissione seguirà da vicino l’evoluzione del sistema britannico in futuro e interverrà, se necessario. L’UE ha i più alti standard di protezione dei dati personali e questi non devono essere compromessi quando i dati personali sono trasferiti all’estero”.
Il governo britannico ha accolto con favore la decisione, che, dopo mesi di incertezza, riconosce, infine, gli elevati standard di protezione dei dati del Paese. Il Segretario di Stato per il digitale Oliver Dowden ha detto: “Dopo più di un anno di colloqui costruttivi, è giusto che l’Unione europea abbia formalmente riconosciuto gli elevati standard di protezione dei dati del Regno Unito. Questa sarà una notizia gradita alle imprese, sosterrà la continua cooperazione tra il Regno Unito e l’UE e aiuterà le autorità di polizia a mantenere le persone al sicuro. Ora ci concentreremo su come utilizzare il potere dei dati per guidare l’innovazione e rilanciare l’economia, assicurandoci allo stesso tempo di proteggere la sicurezza e la privacy delle persone”.
Il framework normativo
La Commissione, quindi, dopo più di un anno di studio del quadro normativo del Regno Unito, ottenuto il parere dell’EDPB e considerate le indicazioni dei MEPs ha determinato che la normativa locale, principalmente il c.d. “UK GDPR” e il DPA 2018, garantisce un livello di protezione dei dati personali trasferiti dall’Unione europea essenzialmente equivalente a quello garantito dal Regolamento (UE) 2016/679. La Commissione ritiene che, nel complesso, i meccanismi di sorveglianza e le vie di ricorso previsti dal diritto del Regno Unito consentano di individuare e sanzionare concretamente le violazioni e offrano agli interessati gli opportuni rimedi giuridici per ottenere l’accesso ai dati personali che li riguardano e, eventualmente, la rettifica o la cancellazione di tali dati. Inoltre, ritiene che qualsiasi interferenza con i diritti fondamentali delle persone i cui dati personali sono trasferiti dall’Unione europea al Regno Unito da parte delle autorità pubbliche britanniche per scopi di interesse pubblico, in particolare ai fini dell’applicazione della legge e della sicurezza nazionale, sarà limitata a ciò che è strettamente necessario per raggiungere l’obiettivo legittimo in questione, e che esiste una protezione giuridica efficace contro tale interferenza.
I punti principali della decisione della Commissione europea
Elementi principali della decisione di adeguatezza:
- Il sistema di protezione dei dati del Regno Unito continua ad essere basato sulle stesse regole che erano applicabili quando il Regno Unito era uno Stato membro dell’UE, avendo pienamente incorporato i principi, i diritti e gli obblighi del GDPR e della direttiva sull’applicazione della legge nel suo sistema giuridico post-Brexit. Esiste, altresì, un solido quadro costituzionale: lo Human Rights Act 1998 recepisce all’interno della legge nazionale i diritti contenuti nella European Convention on Human Rights, compreso l’articolo 8, che limita l’ingerenza di una autorità pubblica nell’esercizio del diritto alla privacy. Il quadro giuridico di protezione dei dati personali nel Regno Unito analizzato dall’EDPB è costituito, dopo la fine del periodo di transizione, principalmente dalle seguenti normative: il Regolamento Generale sulla Protezione dei Dati del Regno Unito (“UK GDPR”), incorporato nel diritto del Regno Unito ai sensi dell’European Union (Withdrawal) Act 2018, modificato dal DPPEC Data Protection, Privacy and Electronic Communications Regulations 2019; il Data Protection Act 2018 (di seguito “DPA 2018”), modificato dai regolamenti DPPEC 2019 e 2020; l’IPA, Investigatory Powers Act 2016.
- L’ambito materiale e territoriale è compatibile: i termini e i concetti chiave della normativa del Regno Unito sono identici o simili a quelli del GDPR, compresi i principi di liceità, correttezza e trasparenza, le basi giuridiche per un trattamento legittimo, le condizioni per il consenso, la previsione e protezione di categorie particolari di dati, la nomina di un responsabile della protezione dei dati e la necessità di valutazioni d’impatto sulla protezione dei dati, la limitazione delle finalità, l’esattezza, la minimizzazione dei dati, la limitazione della conservazione e la sicurezza dei dati, nonché gli obblighi di trasparenza, i diritti degli interessati e la responsabilità. Inoltre, il regime sui trasferimenti internazionali di dati personali dal Regno Unito rispecchia quello stabilito nel capo V del GDPR. La Commissione ritiene, altresì, che l’autorità nazionale di controllo, ICO, incaricata di controllare e far rispettare le norme sulla protezione dei dati, agisca con totale indipendenza e imparzialità nello svolgimento dei suoi compiti e nell’esercizio dei suoi poteri.
- Le restrizioni ai diritti individuali previsti in determinati contesti (immigrazione, salvaguardia della sicurezza nazionale o degli scopi di difesa) sono state ritenute necessarie e proporzionate. Per quanto riguarda l’accesso ai dati personali da parte delle autorità pubbliche nel Regno Unito, in particolare per motivi di sicurezza nazionale, sul quale sia l’EDPB che i MEPs avevano sollevato forti perplessità e richiesto cautela, la Commissione ha verificato che il sistema britannico prevede forti garanzie. In particolare, la raccolta di dati da parte delle autorità di intelligence è soggetta ad autorizzazione preventiva da parte di un organo giudiziario indipendente. Pertanto, qualsiasi misura deve essere necessaria e proporzionata alla finalità perseguita. Chiunque ritenga di essere stato oggetto di una sorveglianza illecita può presentare un ricorso all’Investigatory Powers Tribunal. Il Regno Unito è anche soggetto alla giurisdizione della Corte Europea dei Diritti dell’Uomo e deve aderire alla Convenzione Europea dei Diritti dell’Uomo, così come alla Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, che è l’unico trattato internazionale al momento vincolante nel campo della protezione dei dati. Questi impegni internazionali sono elementi del quadro giuridico fondamentali nella valutazione della decisione di adeguatezza.
- I trasferimenti ai fini del controllo dell’immigrazione nel Regno Unito sono esclusi dal campo di applicazione della decisione di adeguatezza adottata ai sensi del GDPR, in seguito a una recente sentenza della Corte d’appello del Regno Unito sulla validità e l’interpretazione di alcune restrizioni dei diritti di protezione dei dati in questo settore. La Commissione valuterà nuovamente la necessità di questa esclusione una volta che la situazione sarà stata risolta.
Le conseguenze
Per la prima volta, la durata della decisione di adeguatezza è limitata temporalmente, a 4 anni. Il testo prevede, infatti, una “sunset clause”, secondo la quale la decisione scadrà automaticamente quattro anni dopo la sua entrata in vigore, il 27 giugno 2025. Dopo tale periodo, la decisione di adeguatezza dovrà essere rinnovata, laddove permangano i presupposti. Il Commissario per la Giustizia Didier Reynders ha ribadito che l’attuale legislazione UK è molto simile a quella dell’Unione, ma che possibili futuri cambiamenti sono possibili e, pertanto, la sunset clause che prevede la durata di quattro anni è assolutamente necessaria.
L’articolo 45 GDPR prevede già un controllo continuo e un meccanismo di riesame periodico, ma la Commissione giustifica l’inserimento di una specifica durata nella decisione relativa al Regno Unito con la necessità di assicurare un costante monitoraggio anche in futuro, come richiesto fortemente dai MEPs, considerato che ora che non è più vincolato dalle norme dell’Unione Europea, il Regno Unito può modificare la legislazione nazionale in totale autonomia e senza vincoli, ad eccezione di quelli dettati dal diritto internazionale; per questo motivo, l’adesione alla Convenzione europea per la salvaguardia dei diritti dell’uomo e alla Convenzione 108, da parte del Regno Unito ha avuto un peso rilevante nella decisione.
Durante i quattro anni, la Commissione continuerà a monitorare la situazione giuridica nel Regno Unito e potrebbe intervenire in qualsiasi momento, laddove vi fossero modifiche che portassero a un discostamento dal livello di protezione attualmente esistente. I temi su cui occorrerà una verifica costante saranno sicuramente le pratiche di accesso ai dati massivo, i trasferimenti successivi e gli accordi internazionali che verranno stipulati dal Regno Unito.
