Trasferimento dati nel Regno Unito: cosa può cambiare con una decisione di adeguatezza UE - Cyber Security 360

BREXIT

Trasferimento dati nel Regno Unito: cosa può cambiare con una decisione di adeguatezza UE

Potrebbe arrivare nelle prossime settimane la decisione di adeguatezza della Commissione europea sull’adeguato livello di protezione dati del Regno Unito: ciò permetterebbe il trasferimento dati senza che l’esportatore sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari

15 Gen 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Sembra sempre più vicina, nonostante i dubbi e le incertezze, la decisione di adeguatezza della Commissione europea che potrebbe sancire che il Regno Unito è in grado di offrire un adeguato livello di protezione e permetterebbe il trasferimento dei dati personali dall’Unione Europea in UK senza che l’esportatore dei dati sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari.

Con una decisione di adeguatezza, infatti, i trasferimenti verso UK sarebbero assimilati a una trasmissione di dati all’interno dell’UE.

Trasferimento dati nel Regno Unito: il processo decisionale UE

Durante la seduta del 14 gennaio scorso del Committee on Civil Liberties, Justice and Home Affairs, Bruno Gencarelli, responsabile della divisione Protezione e flussi di dati internazionali della Commissione Europea, ha confermato al Parlamento europeo che il processo decisionale sarà finalizzato nelle prossime settimane, ravvisando che il primo passo, una volta raggiunta la decisione sarà raccogliere il parere dell’European Data Protection Board (EDPB).

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security

L’obiettivo è, quindi, quello di definire la valutazione entro il periodo chiamato “the bridge”, che terminerà il 31 giugno 2021.

La valutazione circa l’adeguatezza del livello di protezione UK non era scontato: diverse organizzazioni a difesa della privacy hanno messo in discussione la legalità dei poteri di sorveglianza della Gran Bretagna, con particolare riferimento alle previsioni contenute nell’Investigatory Powers Act e si sono dichiarate pronte ad opporsi a qualsiasi decisione di adeguatezza[1].

Anche l’eurodeputata olandese Sophie in’t Veld ha criticato il lavoro svolto dalla commissione nell’accordo con UK affermando che “Mentre l’UE ha affilato le sue armi sul commercio e pesce, sembra essere molto disposto a cedere sulla protezione dei dati e dei diritti fondamentali”[2].

Trasferimento dati nel Regno Unito: la situazione attuale

Al momento, però, in assenza di decisione di adeguatezza, la situazione resta complessa.

Il Regno Unito, infatti, ha lasciato l’Unione Europea il 31 gennaio 2020 ed è entrato in un periodo di transizione, regolamentato con il Withdrawal Agreement, durato sino al 31 dicembre scorso. Durante il periodo di transizione per espresso accordo tra UK e la Commissione europea la protezione dei dati è rimasta affidata al GDPR, che ha avuto piena applicazione.

A partire dal primo gennaio 2021, al termine del Transition Period, i trasferimenti dall’UE (dal SEE, più precisamente) al Regno Unito devono, pertanto, essere considerati alla stregua di qualsiasi trasferimento extra UE in assenza di una decisione di adeguatezza da parte della Commissione Europea.

L’attuale accordo commerciale tra UE e UK

Il 30 dicembre 2020 è, però, intervenuto tra la Commissione europea e il Regno Unito un accordo commerciale e di cooperazione (EU-UK Trade and Cooperation Agreement) con lo scopo di regolamentare alcuni importanti aspetti di settori quali gli scambi di beni e servizi, il commercio digitale, la proprietà intellettuale, gli appalti pubblici, l’aviazione e il trasporto su strada, il coordinamento della sicurezza sociale e sanitaria, l’applicazione della legge e la cooperazione delle autorità di contrasto e giudiziarie in materia penale.

All’interno di tale accordo sono state inserite specifiche previsioni in merito ai trasferimenti di dati personali, che prevedono la libera circolazione dei dati dall’UE verso UK fino all’adozione da parte della Commissione europea di una decisione di adeguatezza ai sensi dell’art. 45, paragrafo 3 GDPR e per un periodo non superiore a sei mesi.

Il Regno Unito ha determinato, su base transitoria, che gli Stati dell’UE risultano adeguati a consentire il flusso di dati verso l’UK.

Nuovo periodo transitorio per il trasferimento dati nel Regno Unito

Inizia, quindi, un altro periodo transitorio, un “bridge”, che terminerà il prossimo 30 giugno in cui, in virtù dell’accordo menzionato, i trasferimenti di dati personali verso il Regno Unito non saranno considerati trasferimenti verso un paese terzo. Non sarà, quindi, necessario approntare le garanzie richieste dal Capo V del GDPR per i trasferimenti verso Paesi terzi in assenza di una decisione di adeguatezza.

Una decisione in tal senso permetterebbe il lecito trasferimento dei dati personali verso UK da parte delle imprese che si trovano in uno degli Stati Membri europei, senza necessità di approntare ulteriori misure e questo risulterebbe indubbiamente assai importante per i trasferimenti di dati all’interno dell’Europa e non solo.

Il periodo transitorio deciso con l’Accordo avrà una durata massima di quattro mesi e sarà automaticamente esteso a sei mesi, a meno che il Regno Unito o l’UE non si oppongano. L’applicazione delle disposizioni decise per il periodo transitorio è soggetta a due condizioni principali:

  1. il Regno Unito non deve apportare modifiche alla propria legge sulla protezione dei dati;
  2. l’autorità britannica per la protezione dei dati non deve approvare nuovi meccanismi di trasferimento o codici di condotta, senza il consenso dell’UE.

In particolare, la trasmissione di dati personali dall’Unione al Regno Unito non è considerata un trasferimento a un paese terzo ai sensi del diritto dell’Unione, a condizione che si applichi la normativa del Regno Unito in materia di protezione dei dati al 31 dicembre 2020, quale mantenuta e integrata nel diritto del Regno Unito dalla legge European Union (Withdrawal) Act 2018 e modificata dalla legge Data Protection, Privacy and Electronic Communications (EU Exit) Regulations 2019 e a condizione che il Regno Unito non eserciti i poteri designati senza l’accordo dell’Unione.

L’accordo crea, quindi, una situazione di stallo per il Regno Unito che non può, fino al prossimo giugno, determinare autonomamente una propria regolamentazione dei trasferimenti di dati personali fuori da UK, compresi quelli verso gli Stati Uniti, e questo risulta particolarmente critico soprattutto in seguito alla sentenza della CJEU c.d. Schrems II.

Le raccomandazioni dell’ICO

L’Information Commissioner’s Office (ICO) ha comunque raccomandato, nonostante l’accordo, che le società considerino comunque l’introduzione di ulteriori garanzie per il trasferimento di dati personali, anche durante questo periodo, al fine di assicurare continuità nei trasferimenti dei dati personali.

Infatti, laddove non arrivasse alcuna decisione di adeguatezza, troverebbero applicazione tutte le disposizioni del Capo V del GDPR: ciascun titolare o responsabile dovrà, quindi valutare e porre in essere le garanzie più adeguate per trasferire lecitamente i dati dall’UE (più precisamente dal SEE) verso un Paese terzo (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, ecc), con una determinazione caso per caso, oppure verificare, ma solo in via residuale e secondo un approccio molto restrittivo, come chiarisce l’Autorità Garante italiana, la sussistenza delle deroghe previste dall’art. 49 GDPR.

Inoltre, qualora i dati personali fossero trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 del GDPR, potrebbero essere necessarie misure supplementari, conformemente alle Raccomandazioni 01/2020 EDPB sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali richiesto dall’Unione Europea.

Il periodo transitorio concede, dunque, una tregua per i trasferimenti di dati personali, ma le società devono comunque prestare attenzione agli ulteriori obblighi da porre in essere, come la nomina di un rappresentante nell’UE ai sensi dell’art. 27 GDPR, laddove trovi applicazione l’art. 3, paragrafo 2 e la necessità di aggiornare le loro informative sulla privacy di conseguenza.

Allo stesso modo, le società che si trovino in uno Stato Membro e offrono beni o servizi in UK devono valutare se sia necessario nominare un rappresentante nel Regno Unito.

Le indicazioni del Garante italiano

Inoltre, come indicato dall’Autorità Garante per la protezione dei dati personali italiana, in una pagina del sito internet dedicata a fare il punto sulle conseguenze della Brexit per la protezione dei dati, per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal primo gennaio 2021 non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop); di conseguenza, le imprese con sede nel Regno Unito non potranno più rapportarsi con un’unica Autorità “capofila” per i vari obblighi previsti dal GDPR, a meno che non individuino un nuovo stabilimento principale in uno Stato membro.

Gli scenari in caso di una mancata decisione di adeguatezza

È altresì importante, come afferma ICO, che le società appartenenti agli Stati Membri valutino in un’ottica di lungo periodo, le garanzie necessarie a legittimare i trasferimenti da UE a UK nel caso in cui il bridge termini senza decisione di adeguatezza da parte della Commissione.

A tal fine, ICO ha creato un tool destinato alle piccole e medie imprese e alle organizzazioni con sede nel Regno Unito che hanno la necessità di mantenere il flusso di dati personali verso il Regno Unito, per aiutarli nella verifica di queste garanzie.

Nella stragrande maggioranza dei casi, occorrerà utilizzare le standard contractual clauses (SCCs), ma il tool ha lo scopo di aiutare le imprese a verificare se sono lo strumento migliore e a utilizzarle correttamente.

Naturalmente, occorre tenere in considerazione che, seppure il Regno Unito non sarà più vincolato alle norme dell’Unione, il GDPR potrà comunque continuare ad applicarsi al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un titolare o da un responsabile che si trovi in UK, secondo quanto previsto dall’art. 3 GDPR.

L’Agreement contiene, inoltre, numerose altre clausole con impatto sui dati personali e sul loro scambio, oltre alle previsioni specifiche viste sopra, come ad esempio quelle finalizzate a:

  1. garantire la protezione delle persone contro le comunicazioni indesiderate a fini di commercializzazione diretta;
  2. garantire i flussi transfrontalieri di dati per agevolare gli scambi nell’economia digitale, imponendo di non limitare i flussi esigendo la localizzazione dei dati nel territorio della parte per l’archiviazione o l’elaborazione o vietando l’archiviazione o l’elaborazione dei dati nel territorio dell’altra parte o subordinando il trasferimento transfrontaliero di dati all’utilizzo di strutture di calcolo o di elementi di rete nel territorio delle parti o a obblighi di localizzazione nel territorio delle parti. Questa disposizione sarà esaminata e valutata entro tre anni;
  3. stabilire una cooperazione in merito allo scambio di dati su dna, impronte digitali, immatricolazione dei veicoli e scambio di informazioni estratte dal casellario giudiziale.

NOTE

  1. What the interim Brexit data flows deal means for Britain, Vincent Manancourt.
  2. UK, EU reach interim data flow agreement, Jedidiah Bracy.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4