Terminato ormai il periodo di transizione concesso post uscita dall’Unione Europea al Regno Unito, risultato della c.d. Brexit dall’esito referendario formalmente annunciato a marzo 2017, e ci si domanda quale sarà la disciplina applicabile al trattamento dei dati personali.
A seguito di elezioni generali, infatti, il Parlamento ha ratificato l’accordo di recesso e il Regno Unito ha lasciato l’UE il 31 gennaio 2020. Tuttavia, l’uscita “effettiva” avverrà il 31 dicembre 2020, al termine del periodo di transizione durante il quale le parti hanno negoziato i termini delle loro relazioni future.
A partire da tale data, dunque, il Regno Unito non sarà più vincolato alle discipline comunitarie, anche se questa affermazione necessita di una precisazione: ai sensi dell’art. 3 del GDPR, infatti, detto Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato,
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Quindi, anche se il Regno Unito ha lasciato l’UE definitivamente, in alcune circostanze i suoi operatori economici saranno comunque tenuti rispettarne i principi. A mero titolo esemplificato, l’impresa britannica che conclude un contratto con un cittadino europeo, tratterà i dati dell’interessato non già secondo le disposizioni del Data Protection Act (normativa locale), bensì in ossequio a quelle del Regolamento.
L’aggiornamento del Data Protection Act
In vista dell’uscita, sono stati presentati alcuni emendamenti al testo che apporteranno modifiche tecniche tese ad avvicinare la normativa nazionale al GDPR.
Stando ad alcune fonti non ufficiali, addirittura il nuovo testo verrà chiamato “UK GDPR”, proprio per la volontà del Regno Unito di prendere spunto e conformare la normativa domestica con il Regolamento comunitario.
Si ritiene che tali emendamenti verranno apportati anche e soprattutto in ragione dei copiosi trasferimenti di dati tra UE e UK.
Tra gli emendamenti più rappresentativi, il ricorso alle stesse definizioni di dati personali, diritti delle persone interessate, responsabili del trattamento, persone autorizzate al trattamento e basi giuridiche per il trattamento.
L’ICO (“Information Commissioner’s Office”) rimarrà l’organo di controllo indipendente per quanto riguarda la legislazione britannica sulla protezione dei dati. Si rammenta come tale ufficio, durante questo periodo di transizione, si è sempre impegnato a mantenere le relazioni e cooperare con le altre autorità di controllo nell’ambito del GDPR.
Il trasferimento dei dati
Come noto, il GDPR fornisce, al capo V, diversi strumenti per disciplinare i trasferimenti di dati dall’UE verso un Paese terzo.
Tra essi, l’“adequacy decision” della Commissione europea può stabilire che un determinato Paese terzo è in grado di offrire un adeguato livello di protezione dei dati personali.
Ebbene, la Commissione europea ha da tempo avviato i lavori per la verifica delle condizioni di cui all’art. 45, par. 2, del GDPR per la pronuncia di una decisione di adeguatezza ma ad oggi non sembra essere pervenuta ad alcun risultato.
In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Il riferimento va a clausole contrattuali standard (SCC), norme vincolanti di impresa (BCR), clausole ad hoc, meccanismi di certificazione e codici di condotta.
Nell’ottica di semplificare una questione apparentemente spinosa, l’European Data Protection Board ha proposto un diagramma di flusso[1] concernente i trasferimenti dati nel contesto Brexit.
Tuttavia, non può non segnalarsi come le SCC siano state recentemente oggetto di discussione presso le istituzioni europee: con le Raccomandazioni 1/2020, il Comitato europeo per la protezione dei dati ha affermato il livello di protezione nei Paesi terzi non deve essere identico a quello garantito all’interno dello spazio economico europeo, ma sostanzialmente equivalente e per supportare gli esportatori nel complesso compito di valutare il livello di conformità offerto dai Paesi terzi e di individuare, se necessario, adeguate misure supplementari, ha tracciato una vera e propria roadmap per il trasferimento dei dati ed ha indicato alcuni esempi di misure supplementari che potrebbero essere messe in atto nel caso in cui la legislazione del Paese d’importazione non consentisse di confermare il livello di protezione adeguato; inoltre, le SCC sono state oggetto di una proposta di modifica da parte della Commissione e si trovano oggi oggetto di consultazione pubblica.
L’accordo del 24 dicembre
Nonostante il periodo festivo, in pochi si saranno persi il fatto che il 24 dicembre 2020 il Regno Unito e l’UE hanno concluso un accordo commerciale e di cooperazione.
L’accordo regola gli scambi commerciali che avranno luogo dopo la scadenza del periodo di transizione.
Come poc’anzi ricordato, infatti, dal 1 gennaio 2021 il Regno Unito è diventato un “Paese terzo”, il che significa che i trasferimenti di dati personali dall’UE al Regno Unito potrebbero, in teoria, avvenire solo se venissero attuate “adeguate garanzie” per il trasferimento, in mancanza di una “decisione di adeguatezza” formale della Commissione che riconoscesse il Regno Unito come Paese che fornisce un adeguato livello di protezione dei dati personali.
L’accordo in questione proroga ulteriormente il periodo transitorio, introducendo quello che in UK è stato definito “bridging mechanism”, prevedendo che i trasferimenti di dati personali dall’UE al Regno Unito non saranno considerati un trasferimento verso un Paese terzo, e tanto per un periodo già determinato di massimo sei mesi dopo l’entrata in vigore dell’accordo (il periodo dovrebbe quindi durare fino alla fine di giugno 2021).
Viene però prevista una clausola di salvaguardia: durante tale periodo, qualora il Regno Unito dovesse modificare le leggi sulla protezione dei dati attualmente in vigore senza il previo benestare dell’UE, il periodo concesso terminerebbe.
È importante specificare la natura transitoria dell’accordo in relazione ai trasferimenti internazionali di dati personali. A meno che la Commissione Europea non adotti una decisione di adeguatezza in relazione al Regno Unito entro la fine di giugno 2021, le imprese si troveranno a dover affrontare l’ennesimo “cliff edge”, manifestatosi sia in fase di negoziazione dell’Accordo di ritiro, sia da ultimo con l’Accordo di Commercio e Cooperazione.
Negli ultimi anni si sono verificati notevoli sconvolgimenti in ambito data protection e il 2021 sembra destinato a non invertire la tendenza. Mentre le imprese affrontano le implicazioni della sentenza Schrems II sui flussi di dati personali in uscita dall’UE, la promessa solenne che viene fatta dal governo britannico è di difendere il flusso internazionale di dati.
- https://edps.europa.eu/data-protection/our-work/publications/factsheets/flowcharts-and-checklists-data-protection-brochure_en. ↑
