BREXIT

Trasferimento dati nel Regno Unito: cosa può cambiare con una decisione di adeguatezza UE

Potrebbe arrivare nelle prossime settimane la decisione di adeguatezza della Commissione europea sull’adeguato livello di protezione dati del Regno Unito: ciò permetterebbe il trasferimento dati senza che l’esportatore sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari

15 Gen 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Sembra sempre più vicina, nonostante i dubbi e le incertezze, la decisione di adeguatezza della Commissione europea che potrebbe sancire che il Regno Unito è in grado di offrire un adeguato livello di protezione e permetterebbe il trasferimento dei dati personali dall’Unione Europea in UK senza che l’esportatore dei dati sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari.

Con una decisione di adeguatezza, infatti, i trasferimenti verso UK sarebbero assimilati a una trasmissione di dati all’interno dell’UE.

Trasferimento dati nel Regno Unito: il processo decisionale UE

Durante la seduta del 14 gennaio scorso del Committee on Civil Liberties, Justice and Home Affairs, Bruno Gencarelli, responsabile della divisione Protezione e flussi di dati internazionali della Commissione Europea, ha confermato al Parlamento europeo che il processo decisionale sarà finalizzato nelle prossime settimane, ravvisando che il primo passo, una volta raggiunta la decisione sarà raccogliere il parere dell’European Data Protection Board (EDPB).

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

L’obiettivo è, quindi, quello di definire la valutazione entro il periodo chiamato “the bridge”, che terminerà il 31 giugno 2021.

La valutazione circa l’adeguatezza del livello di protezione UK non era scontato: diverse organizzazioni a difesa della privacy hanno messo in discussione la legalità dei poteri di sorveglianza della Gran Bretagna, con particolare riferimento alle previsioni contenute nell’Investigatory Powers Act e si sono dichiarate pronte ad opporsi a qualsiasi decisione di adeguatezza[1].

Anche l’eurodeputata olandese Sophie in’t Veld ha criticato il lavoro svolto dalla commissione nell’accordo con UK affermando che “Mentre l’UE ha affilato le sue armi sul commercio e pesce, sembra essere molto disposto a cedere sulla protezione dei dati e dei diritti fondamentali”[2].

Trasferimento dati nel Regno Unito: la situazione attuale

Al momento, però, in assenza di decisione di adeguatezza, la situazione resta complessa.

Il Regno Unito, infatti, ha lasciato l’Unione Europea il 31 gennaio 2020 ed è entrato in un periodo di transizione, regolamentato con il Withdrawal Agreement, durato sino al 31 dicembre scorso. Durante il periodo di transizione per espresso accordo tra UK e la Commissione europea la protezione dei dati è rimasta affidata al GDPR, che ha avuto piena applicazione.

A partire dal primo gennaio 2021, al termine del Transition Period, i trasferimenti dall’UE (dal SEE, più precisamente) al Regno Unito devono, pertanto, essere considerati alla stregua di qualsiasi trasferimento extra UE in assenza di una decisione di adeguatezza da parte della Commissione Europea.

L’attuale accordo commerciale tra UE e UK

Il 30 dicembre 2020 è, però, intervenuto tra la Commissione europea e il Regno Unito un accordo commerciale e di cooperazione (EU-UK Trade and Cooperation Agreement) con lo scopo di regolamentare alcuni importanti aspetti di settori quali gli scambi di beni e servizi, il commercio digitale, la proprietà intellettuale, gli appalti pubblici, l’aviazione e il trasporto su strada, il coordinamento della sicurezza sociale e sanitaria, l’applicazione della legge e la cooperazione delle autorità di contrasto e giudiziarie in materia penale.

All’interno di tale accordo sono state inserite specifiche previsioni in merito ai trasferimenti di dati personali, che prevedono la libera circolazione dei dati dall’UE verso UK fino all’adozione da parte della Commissione europea di una decisione di adeguatezza ai sensi dell’art. 45, paragrafo 3 GDPR e per un periodo non superiore a sei mesi.

Il Regno Unito ha determinato, su base transitoria, che gli Stati dell’UE risultano adeguati a consentire il flusso di dati verso l’UK.

Nuovo periodo transitorio per il trasferimento dati nel Regno Unito

Inizia, quindi, un altro periodo transitorio, un “bridge”, che terminerà il prossimo 30 giugno in cui, in virtù dell’accordo menzionato, i trasferimenti di dati personali verso il Regno Unito non saranno considerati trasferimenti verso un paese terzo. Non sarà, quindi, necessario approntare le garanzie richieste dal Capo V del GDPR per i trasferimenti verso Paesi terzi in assenza di una decisione di adeguatezza.

Una decisione in tal senso permetterebbe il lecito trasferimento dei dati personali verso UK da parte delle imprese che si trovano in uno degli Stati Membri europei, senza necessità di approntare ulteriori misure e questo risulterebbe indubbiamente assai importante per i trasferimenti di dati all’interno dell’Europa e non solo.

Il periodo transitorio deciso con l’Accordo avrà una durata massima di quattro mesi e sarà automaticamente esteso a sei mesi, a meno che il Regno Unito o l’UE non si oppongano. L’applicazione delle disposizioni decise per il periodo transitorio è soggetta a due condizioni principali:

  1. il Regno Unito non deve apportare modifiche alla propria legge sulla protezione dei dati;
  2. l’autorità britannica per la protezione dei dati non deve approvare nuovi meccanismi di trasferimento o codici di condotta, senza il consenso dell’UE.

In particolare, la trasmissione di dati personali dall’Unione al Regno Unito non è considerata un trasferimento a un paese terzo ai sensi del diritto dell’Unione, a condizione che si applichi la normativa del Regno Unito in materia di protezione dei dati al 31 dicembre 2020, quale mantenuta e integrata nel diritto del Regno Unito dalla legge European Union (Withdrawal) Act 2018 e modificata dalla legge Data Protection, Privacy and Electronic Communications (EU Exit) Regulations 2019 e a condizione che il Regno Unito non eserciti i poteri designati senza l’accordo dell’Unione.

L’accordo crea, quindi, una situazione di stallo per il Regno Unito che non può, fino al prossimo giugno, determinare autonomamente una propria regolamentazione dei trasferimenti di dati personali fuori da UK, compresi quelli verso gli Stati Uniti, e questo risulta particolarmente critico soprattutto in seguito alla sentenza della CJEU c.d. Schrems II.

Le raccomandazioni dell’ICO

L’Information Commissioner’s Office (ICO) ha comunque raccomandato, nonostante l’accordo, che le società considerino comunque l’introduzione di ulteriori garanzie per il trasferimento di dati personali, anche durante questo periodo, al fine di assicurare continuità nei trasferimenti dei dati personali.

Infatti, laddove non arrivasse alcuna decisione di adeguatezza, troverebbero applicazione tutte le disposizioni del Capo V del GDPR: ciascun titolare o responsabile dovrà, quindi valutare e porre in essere le garanzie più adeguate per trasferire lecitamente i dati dall’UE (più precisamente dal SEE) verso un Paese terzo (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, ecc), con una determinazione caso per caso, oppure verificare, ma solo in via residuale e secondo un approccio molto restrittivo, come chiarisce l’Autorità Garante italiana, la sussistenza delle deroghe previste dall’art. 49 GDPR.

Inoltre, qualora i dati personali fossero trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 del GDPR, potrebbero essere necessarie misure supplementari, conformemente alle Raccomandazioni 01/2020 EDPB sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali richiesto dall’Unione Europea.

Il periodo transitorio concede, dunque, una tregua per i trasferimenti di dati personali, ma le società devono comunque prestare attenzione agli ulteriori obblighi da porre in essere, come la nomina di un rappresentante nell’UE ai sensi dell’art. 27 GDPR, laddove trovi applicazione l’art. 3, paragrafo 2 e la necessità di aggiornare le loro informative sulla privacy di conseguenza.

Allo stesso modo, le società che si trovino in uno Stato Membro e offrono beni o servizi in UK devono valutare se sia necessario nominare un rappresentante nel Regno Unito.

Le indicazioni del Garante italiano

Inoltre, come indicato dall’Autorità Garante per la protezione dei dati personali italiana, in una pagina del sito internet dedicata a fare il punto sulle conseguenze della Brexit per la protezione dei dati, per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal primo gennaio 2021 non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop); di conseguenza, le imprese con sede nel Regno Unito non potranno più rapportarsi con un’unica Autorità “capofila” per i vari obblighi previsti dal GDPR, a meno che non individuino un nuovo stabilimento principale in uno Stato membro.

Gli scenari in caso di una mancata decisione di adeguatezza

È altresì importante, come afferma ICO, che le società appartenenti agli Stati Membri valutino in un’ottica di lungo periodo, le garanzie necessarie a legittimare i trasferimenti da UE a UK nel caso in cui il bridge termini senza decisione di adeguatezza da parte della Commissione.

A tal fine, ICO ha creato un tool destinato alle piccole e medie imprese e alle organizzazioni con sede nel Regno Unito che hanno la necessità di mantenere il flusso di dati personali verso il Regno Unito, per aiutarli nella verifica di queste garanzie.

Nella stragrande maggioranza dei casi, occorrerà utilizzare le standard contractual clauses (SCCs), ma il tool ha lo scopo di aiutare le imprese a verificare se sono lo strumento migliore e a utilizzarle correttamente.

Naturalmente, occorre tenere in considerazione che, seppure il Regno Unito non sarà più vincolato alle norme dell’Unione, il GDPR potrà comunque continuare ad applicarsi al trattamento dei dati personali di interessati che si trovano nell’Unione effettuato da un titolare o da un responsabile che si trovi in UK, secondo quanto previsto dall’art. 3 GDPR.

L’Agreement contiene, inoltre, numerose altre clausole con impatto sui dati personali e sul loro scambio, oltre alle previsioni specifiche viste sopra, come ad esempio quelle finalizzate a:

  1. garantire la protezione delle persone contro le comunicazioni indesiderate a fini di commercializzazione diretta;
  2. garantire i flussi transfrontalieri di dati per agevolare gli scambi nell’economia digitale, imponendo di non limitare i flussi esigendo la localizzazione dei dati nel territorio della parte per l’archiviazione o l’elaborazione o vietando l’archiviazione o l’elaborazione dei dati nel territorio dell’altra parte o subordinando il trasferimento transfrontaliero di dati all’utilizzo di strutture di calcolo o di elementi di rete nel territorio delle parti o a obblighi di localizzazione nel territorio delle parti. Questa disposizione sarà esaminata e valutata entro tre anni;
  3. stabilire una cooperazione in merito allo scambio di dati su dna, impronte digitali, immatricolazione dei veicoli e scambio di informazioni estratte dal casellario giudiziale.

NOTE

  1. What the interim Brexit data flows deal means for Britain, Vincent Manancourt.
  2. UK, EU reach interim data flow agreement, Jedidiah Bracy.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr