A partire dall’1 gennaio 2021, termine che ha sancito la fine del periodo di transizione e ufficializzato la Brexit, il Regno Unito non è più parte dell’Unione Europea (“UE”). Tra le innumerevoli conseguenze, il recesso del Regno Unito dall’UE complica il trasferimento dei dati personali dallo Spazio Economico Europeo (“SEE”) verso il Regno Unito, che rimane tuttavia necessario – a dire il vero, spesso indispensabile – per lo svolgimento e la fornitura di numerosi servizi transfrontalieri, tra cui quelli bancari.
Ai sensi dell’Art. 45 del Regolamento (UE) 2016/679 (“GDPR”) i trasferimenti di dati al di fuori del SEE, cioè verso i c.d. “paesi terzi”, sono consentiti solo a condizione che la Commissione europea riconosca, tramite l’adozione di una decisione di adeguatezza, che un determinato paese terzo è in grado di offrire un livello di protezione dei dati personali adeguato, ossia sostanzialmente equivalente a quello garantito dall’UE. In questi casi, dunque, i trasferimenti di dati personali sono consentiti senza che si renda necessaria l’adozione di ulteriori misure da parte dell’esportatore. In assenza di tale decisione, invece, il trasferimento è consentito solo nel caso in cui il titolare o il responsabile del trattamento forniscano garanzie adeguate ai sensi dell’Art. 46 GDPR, ad esempio l’adozione delle clausole contrattuali tipo adottate dalla Commissione europea (anche dette “Standard Contractual Clauses”) o l’adozione di norme vincolanti d’impresa (anche dette “Binding Corporate Rules”). Infine, il GDPR prevede uno speciale e assolutamente residuale regime di deroga, che consente il trasferimento dei dati verso i paesi terzi anche in assenza delle suddette decisioni e misure purché ricorrano talune specifiche situazioni indicate all’Art. 49 GDPR.
Ad oggi, il trasferimento dei dati dal SEE verso il Regno Unito non è coperto da alcuna delle precedenti condizioni, bensì da uno speciale e temporaneo regime sui generis. Infatti, mentre i flussi di dati in senso inverso sono disciplinati dalla legislazione britannica che riconosce l’adeguatezza della protezione dei dati offerta dall’UE, l’Accordo sugli scambi e la cooperazione (Trade and Cooperation Agreement) approvato il 24 dicembre 2020 e in vigore dall’1 gennaio 2021, stabilisce che per un periodo transitorio di massimo 6 mesi (con termine ultimo, dunque, il 30 giugno 2021) i trasferimenti di dati personali dal SEE verso il Regno Unito continuano ad essere liberi, con la conseguenza che il paese oltremanica non sarà considerato un “paese terzo”. In ogni caso, affinché il Regno Unito non diventi la porta di accesso per trasferimenti incontrollati verso paesi terzi, tale periodo (c.d. bridging period) terminerà nel caso in cui il Regno Unito modifichi la propria legislazione in materia di trattamento dei dati personalio eserciti i c.d. “poteri designati” per i trasferimenti senza la previa approvazione dell’UE.[1]
Come sottolineato sia dal Vice-Presidente della Commissione Europea per i valori e la trasparenza Věra Jourová, sia dal Commissario per la Giustizia Didier Reynders, un flusso di dati libero e sicuro tra l’UE e il Regno Unito è fondamentale per mantenere gli stretti legami commerciali esistenti e cooperare efficacemente nella lotta contro il crimine.[2] Al fine di raggiungere questo obiettivo entro (se non prima) il 30 giugno 2021, il 19 febbraio 2021 la Commissione europea ha pubblicato la bozza di due decisioni di adeguatezza per il trasferimento di dati personali verso il Regno Unito, una ai sensi del GDPR e l’altra ai sensi della Direttiva (UE) 2016/680 (c.d. Law Enforcement Directive), che disciplina in via speciale i trattamenti aventi finalità lato sensu di polizia da parte delle autorità competenti.
Si tratta di due bozze di decisione di adeguatezza particolarmente rilevanti, in quanto, se definitivamente adottate, garantirebbero il necessario livello di certezza giuridica circa i rapporti tra l’UE e il Regno Unito in materia di trasferimento di dati personali, favorendo così il commercio e le relazioni economiche. Inoltre, per la prima volta la Commissione europea non solo valuta l’adeguatezza di un paese che fino a pochi mesi fa applicava la normativa comunitaria, ma si pronuncia anche in tale materia in seguito alla sentenza della Corte di Giustizia dell’Unione Europea (“CGUE”) nota come Schrems II, che nel luglio 2020 ha invalidato la Decisione 2016/1250 con cui la Commissione aveva certificato l’adeguatezza della protezione dei dati personali offerta dal meccanismo del Privacy Shield applicabile al trasferimento dei dati personali dal SEE verso gli Stati Uniti.[3]
La bozza di decisione di adeguatezza ai sensi del GDPR[4]
Dopo mesi di studio e valutazione della legislazione e prassi britanniche in materia di protezione dei dati personali, la Commissione europea, pubblicando la bozza di adeguatezza ai sensi del GDPR, ha concluso che il Regno Unito assicura un livello di protezione dei dati sostanzialmente equivalente a quello garantito dalla normativa europea.
Per raggiungere questa conclusione, la Commissione esamina approfonditamente il quadro normativo che regola la protezione dei dati personali nel Regno Unito. Dopo aver analizzato il solido quadro costituzionale del paese, che ha aderito al Consiglio d’Europa ed è parte della Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personalee della Convenzione Europea dei Diritti dell’Uomo e, di conseguenza, è soggetto alla giurisdizione della Corte Europea dei Diritti dell’Uomo, la Commissione conclude che il quadro legislativo britannico sulla protezione dei dati personali, incardinato sul c.d. UK GDPR e sul Data Protection Act 2018, è adeguato. Esso, infatti, ha fatto propria la legislazione europea in materia di dati personali (compreso il GDPR) ed è rimasto sostanzialmente invariato in seguito a Brexit.
La bozza prosegue valutando l’ambito materiale, territoriale e le definizioni utilizzate nella legislazione britannica, nonché il regime dei trasferimenti internazionali di dati personali e le restrizioni ai diritti individuali previsti in determinati contesti, concludendo per l’esistenza di tutele e garanzie idonee a soddisfare i requisiti previsti dal GDPR.
Viene poi analizzata l’attività dell’Autorità britannica per la protezione dei dati personali (Information Comissioner’s Office), incaricata di controllare e far rispettare le norme sulla protezione dei dati, che, secondo la Commissione, agisce con totale indipendenza e imparzialità, nonché i rimedi previsti per gli interessati, che la Commissione giudica adeguati.
In seguito alla sentenza Schrems II, la Commissione pone poi particolare attenzione alla sezione “Accesso e uso di dati personali trasferiti dall’Unione Europea da parte delle autorità pubbliche britanniche”, concludendo che l’accesso ai dati da parte delle autorità pubbliche è consentito esclusivamente nel rispetto delle disposizioni di legge e per fini di interesse pubblico tassativamente limitati. Inoltre, la Commissione ritiene che esistano garanzie e diritti specifici per la protezione dei dati quando questi sono trattati da parte delle autorità pubbliche.
Infine, la bozza prevede che la decisione – se definitivamente adottata – avrà durata di quattro anni a partire dalla sua entrata in vigore, trascorsi i quali l’adeguatezza del regime giuridico del Regno Unito dovrà essere riconfermata dalla Commissione, pena la sua decadenza. Si tratta di una novità rispetto alle precedenti decisioni di adeguatezza, le quali prevedevano un meccanismo di controllo continuo e di riesame periodico ai sensi dell’Art. 45 GDPR, ma non un vero e proprio “termine” della validità della decisione. La Commissione giustifica l’inserimento di questo specifico termine con la necessità di assicurare un costante monitoraggio del regime giuridico del Regno Unito anche in futuro, considerato che il paese, non più vincolato dalle norme comunitarie, potrebbe modificare la propria legislazione nazionale in totale autonomia.
I prossimi step e le Standard Contractual Clauses quale alternativa in caso di mancata adozione della decisione di adeguatezza
La pubblicazione della bozza di decisione di adeguatezza ai sensi del GDPR è solamente il primo passaggio nel processo decisionale relativo ai trasferimenti di dati dal SEE al Regno Unito. Infatti, il progetto relativo alla bozza di decisione di adeguatezza dovrà ottenere il parere non vincolante del Comitato Europeo per la Protezione dei Dati ai sensi dell’Art. 70 GDPR e dovrà essere approvato da un Comitato composto dai rappresentanti degli Stati Membri dell’UE. Una volta completata questa procedura, la Commissione europea potrà adottare definitivamente e ufficialmente le due decisioni di adeguatezza a favore del Regno Unito.[5]
In caso di mancata adozione della decisione di adeguatezza entro il 30 giugno 2021, a partire da quella data i trasferimenti di dati dal SEE verso il Regno Unito potranno essere effettuati solo sulla base di garanzie adeguate ai sensi dell’Art. 46 GDPR, ossia: strumenti giuridicamente vincolanti con efficacia esecutiva tra autorità pubbliche o organismi pubblici; Binding Corporate Rules; Standard Contractual Clauses; codici di condotta; o meccanismi di certificazione.
È evidente che, con riferimento ai trasferimenti tra soggetti privati e in assenza di Binding Corporate Rules, nel caso di mancata adozione della decisione di adeguatezza a favore del Regno Unito entro il 30 giugno 2021 la più ragionevole alternativa sarebbe quella di ricorrere alla sottoscrizione di Standard Contractual Clauses tra l’esportatore e l’importatore dei dati. Infatti, data l’imminenza della scadenza, sarebbe irrealistico ipotizzare di coprire detti trasferimenti mediante adozione (o modifica di esistenti) codici di condotta o, per di più, di meccanismi di certificazione, mancando peraltro per questi ultimi persino una adeguata normativa di dettaglio. In un simile scenario, infine, sarebbe opportuno vincolare contrattualmente l’importatore dei dati situato nel Regno Unito – in caso di successivo trasferimento dei dati verso gli Stati Uniti – ad adottare a sua volta delle Standard Contractual Clauses con l’importatore statunitense, da rafforzare mediante obblighi di sicurezza specifici da imporre al trasferimento (ad esempio, la cifratura dei dati), proprio alla luce di quanto espresso dalla CGUE nella stessa sentenza Schrems II.
La speranza è che la materia della tutela dei dati personali non diventi terreno di scontro politico tra Regno Unito e UE con il rischio di compromettere gli interessi di numerosi cittadini e imprese europee che, nonostante la Brexit, continuano ad avere rapporti economici, finanziari e personali privilegiati con il Regno Unito e non avrebbero certo un beneficio a vedere compromesso o rallentato il flusso costante di dati personali verso questo “nuovo paese extracomunitario”.
[1] Accordo sugli scambi e la cooperazione tra l’Unione Europea e il Regno Unito (link: https://ec.europa.eu/info/relations-united-kingdom/eu-uk-trade-and-cooperation-agreement_en)
[2] Commissione Europea, comunicato stampa “Protezione dei dati: la Commissione europea avvia un processo sui flussi di dati personali verso il Regno Unito” (link: Protezione dei dati: progetto di decisione di adeguatezza relativa al Regno Unito (europa.eu))
[3] Sentenza della Corte di Giustizia dell’UE del 16 luglio 2020 nella causa C-311/18, con la quale la Corte ha considerato la normativa interna statunitense in materia di accesso e di utilizzo ai dati da parte delle autorità pubbliche ivi residenti non soddisfacente in relazione ai principi del GDPR. Tra le questioni di cui alla motivazione, particolare critica è stata mossa all’assenza, in detta normativa interna, di un principio di proporzionalità, rilevata la possibilità di un accesso ai dati senza limitazione alcuna e dunque oltre quanto strettamente necessario per le concrete ragioni di sorveglianza sottese all’accesso.
[4] Commissione Europea, “Draft decision on the adequate protection of personal data by the United Kingdom – General Data Protection Regulation” (link: Draft decision on the adequate protection of personal data by the United Kingdom – General Data Protection Regulation | European Commission (europa.eu))
[5] Cfr. Nota 2