Dopo l’uscita del Regno Unito dall’Unione Europea, continua il processo verso la decisione di adeguatezza sulla protezione dei dati personali ai sensi del Regolamento Generale sulla protezione dei dati personali EU 2016/679 (GDPR).
La Commissione europea aveva già pubblicato la bozza della decisione di adeguatezza il 19 febbraio 2021 e aveva contestualmente chiesto il parere, non vincolante, dell’EDPB (European Data Protection Board), che è puntualmente arrivato il 13 aprile scorso.
L’EDPB ha, infatti, emesso l’Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom, fornendo di fatto un parere positivo, pur richiedendo alla Commissione numerose verifiche e un costante monitoraggio sul quadro normativo del Regno unito.
Questo costituisce certamente una gradita notizia in particolare per le imprese stabilite nel SEE e nel Regno Unito che hanno la necessità di effettuare trasferimenti di dati personali.
Brexit e trasferimenti dati personali: meccanismi normativi e aree di difficoltà
Indice degli argomenti
Decisione di adeguatezza per il Regno Unito: il parere dell’EDPB
Il parere 14/2021 trova fondamento nel GDPR e si basa sulle Recommendations EDPB 02/2020 on the European Essential Guarantees for surveillance measures e sul GDPR Adequacy Referential WP 254[1], che mira a fornire una guida alla Commissione europea e all’EDPB per la valutazione del livello di protezione dei dati nei paesi terzi e nelle organizzazioni internazionali, stabilendo i principi fondamentali di protezione dei dati che devono essere presenti nel quadro giuridico di un paese terzo o di un’organizzazione internazionale per garantire l’equivalenza essenziale con il quadro dell’Unione Europea.
Il parere dell’EDPB risulta molto importante perché l’iter decisionale possa essere concluso entro lo scadere del periodo di transizione chiamato “the bridge”, previsto per il 30 giugno 2021.
Infatti, dal primo gennaio 2021 i trasferimenti di dati personali verso il Regno Unito sono disciplinati da un regime provvisorio, determinato dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la c.d. “bridging clause” garantisce la piena continuità dei flussi di dati tra il SEE e il Regno Unito, ma in via temporanea: la soluzione è, infatti, applicabile per un periodo massimo di sei mesi, che terminano il 30 giugno 2021 e sottoposta alla condizione che UK non cambi il regime di protezione dei dati in vigore.
La pubblicazione dell’Opinion è, quindi, un ulteriore tassello per terminare la procedura che potrà portare alla prima decisione di adeguatezza dopo la sentenza “Schrems II” della Corte di giustizia dell’Unione europea.
GDPR e Brexit: cosa cambia per il trasferimento dati con l’uscita del Regno Unito dalla UE
Il quadro giuridico del Regno Unito per la protezione dei dati
Il quadro giuridico di protezione dei dati personali nel Regno Unito analizzato dall’EDPB è costituito, dopo la fine del periodo di transizione, principalmente dalle seguenti normative:
- il Regolamento Generale sulla Protezione dei Dati del Regno Unito (“UK GDPR”), incorporato nel diritto del Regno Unito ai sensi dell’European Union (Withdrawal) Act 2018, modificato dal DPPEC Data Protection, Privacy and Electronic Communications Regulations 2019;
- il Data Protection Act 2018 (di seguito “DPA 2018”), modificato dai regolamenti DPPEC 2019 e 2020; e
- l’IPA 2016.
Nella sua Opinion, L’EDPB ha dapprima confermato che sussistono aree di forte allineamento tra i quadri di protezione dei dati dell’UE e quelli del Regno Unito, in particolare:
- sui concetti di dato personale, trattamento e titolare del trattamento;
- sui principi fondamentali di protezione dei dati, soprattutto in relazione al trattamento lecito e corretto per finalità legittime, alla limitazione della finalità, alla qualità e proporzionalità dei dati, alla limitazione del periodo di conservazione dei dati e alla trasparenza;
- sulle misure di garanzia di sicurezza e riservatezza, sulla disciplina del trattamento di categorie particolari di dati e sul processo decisionale automatizzato e la profilazione.
Una decisione di adeguatezza “a termine”
Il presidente dell’EDPB, Andrea Jelinek ha affermato: “Il quadro di protezione dei dati del Regno Unito è in gran parte basato sul quadro di protezione dei dati dell’UE. L’UK Data Protection Act 2018 specifica ulteriormente l’applicazione del GDPR nel diritto britannico, oltre a recepire la Law Enforcement Directive, e garantisce poteri e impone doveri all’autorità nazionale di controllo, l’ICO. Pertanto, l’EDPB riconosce che il Regno Unito rispecchia, per la maggior parte, il GDPR e il LED nel suo quadro di protezione dei dati e, dopo attenta analisi della sua legge e della sua pratica, l’EDPB ha rilevato che molti aspetti sono essenzialmente equivalenti. Tuttavia, mentre le leggi possono evolvere, questo allineamento dovrebbe essere mantenuto nel tempo. Quindi, accogliamo con favore la decisione della Commissione di limitare temporalmente l’adeguatezza concessa e di monitorare gli sviluppi nell’ordinamento del Regno Unito”[2].
Infatti, per la prima volta nelle decisioni di adeguatezza dell’UE, il progetto di decisione del Regno Unito limita la sua durata a un periodo di quattro anni dalla sua entrata in vigore e richiede una revisione espressa dell’adeguatezza del regime giuridico del Regno Unito prima della scadenza. Laddove, dopo tale periodo, che potrà essere prorogato per altri quattro anni, la Commissione non dovesse confermare espressamente l’adeguatezza, la decisione decadrebbe.
L’EDPB ha anche sottolineato che la Commissione europea nella sua decisione dovrebbe valutare e monitorare diversi elementi, tra cui la c.d. “Immigration Exemption” applicabile anche nei casi in cui i dati personali non sono raccolti ai fini del controllo dell’immigrazione da un titolare del trattamento, ma sono resi disponibili da quest’ultimo ad un altro titolare, che tratta tali dati ai fini del controllo dell’immigrazione, con possibili rilevanti conseguenze sui diritti degli interessati.
Le restrizioni ai trasferimenti di dati personali in UK
Grande importanza viene data anche all’applicazione di restrizioni ai trasferimenti di dati personali di interessati del SEE nel Regno Unito, sulla base, ad esempio, di future decisioni di adeguatezza adottate dal Regno Unito, accordi internazionali conclusi tra il Regno Unito e paesi terzi, o altre deroghe.
Infatti, per garantire la continuità della protezione, non solo la legislazione del Regno Unito dovrà essere essenzialmente equivalente alla legislazione dell’UE per quanto riguarda il trattamento dei dati personali trasferiti nel Regno Unito ai sensi del progetto di decisione, ma le norme applicabili nel Regno Unito per quanto riguarda il successivo trasferimento di tali dati a paesi terzi dovranno garantire un livello di protezione sostanzialmente equivalente.
A tal fine, l’EDPB invita la Commissione a monitorare anche gli accordi internazionali conclusi tra il Regno Unito e paesi terzi, tra cui viene espressamente citato il Cloud Act concluso con gli Stati Uniti, per verificare che garantiscano adeguate garanzie supplementari e non compromettano il livello di protezione dei dati personali.
L’EDPB, nel suo parere, accoglie con favore anche l’istituzione dell’Investigatory Powers Tribunal (IPT), competente per i casi relativi all’uso di poteri investigativi non solo da parte delle autorità di polizia, ma anche da parte dei servizi di intelligence. L’EDPB ritiene, quindi, che l’IPT funzioni come un vero e proprio tribunale ai sensi dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea.
Anche l’introduzione dei Judicial Commissioners nell’Investigatory Powers Act (IPA) 2016 in ambito di accesso delle autorità pubbliche ai dati personali trasferiti nel Regno Unito a fini di sicurezza nazionale sono valutati favorevolmente.
Decisione di adeguatezza per il Regno Unito: le criticità
Ciononostante, secondo l’EDPB residuano ancora alcuni aspetti da chiarire o valutare più approfonditamente e, in particolare le intercettazioni in massa, la valutazione e supervisione dell’uso di strumenti di trattamento automatizzato, le garanzie previste dalla legge britannica in materia di divulgazione dei dati all’estero, in particolare alla luce dell’applicazione delle esenzioni previste per la sicurezza nazionale, e invita la Commissione ad occuparsene.
Alcuni fattori hanno contribuito particolarmente al parere positivo dell’EDPB, nonostante le preoccupazioni di possibili successive modifiche del quadro normativo, tra queste il fatto che il Regno Unito ha aderito alla CEDU e sia sotto la giurisdizione della Corte europea dei diritti dell’uomo, abbia aderito alla Convenzione 108 e al suo Protocollo, abbia firmato la Convenzione 108+ nel 2018 e stia attivamente lavorando alla sua ratifica.
La necessità di un continuo monitoraggio sulle future evoluzioni all’interno dell’ordinamento giuridico viene ribadito più volte e costituisce condizione fondamentale del parere positivo dell’EDPB. Infatti, il governo britannico ha manifestato la sua intenzione di sviluppare politiche separate e indipendenti nella protezione dei dati con una possibile volontà di divergere dalla legge sulla protezione dei dati dell’UE.
Tali dichiarazioni politiche non si sono ancora concretizzate, ma questa possibile divergenza futura potrebbe creare rischi per il mantenimento del livello di protezione fornito ai dati personali trasferiti dall’UE.
L’EDPB auspica che, nel caso in cui il livello essenzialmente equivalente di protezione dei dati personali trasferiti dal SEE non sia mantenuto, la Commissione europea consideri di modificare la decisione di adeguatezza per introdurre garanzie specifiche per i dati trasferiti dal SEE e/o di sospendere la decisione di adeguatezza.
Decisione di adeguatezza per il regno Unito: i passaggi successivi
Le bozze di decisione saranno ora valutate da un comitato formato da 27 Stati Membri dell’UE e laddove fossero approvate dal comitato, la Commissione europea potrebbe formalmente adottarle come decisioni di adeguatezza.
Diversamente, nel caso in cui le decisioni di adeguatezza non fossero adottate entro la fine del “bridge”, i trasferimenti dallo Spazio economico europeo al Regno Unito dovranno essere considerati alla stregua di qualsiasi trasferimento extra UE in assenza di una decisione di adeguatezza e dovranno essere posti in essere solo nel rispetto delle disposizioni di cui al del Capo V del GDPR; ciascun titolare o responsabile dovrà valutare e porre in essere le garanzie adeguate per trasferire lecitamente i dati.
NOTE
Article 29 Working Party, Adequacy Referential. ↑
