L’accordo raggiunto tra l’UE e il Regno Unito sulla Brexit riguarda anche la disciplina del trasferimento dei dati personali, con alcuni sviluppi inattesi.
Non sorprende che l’accordo di cooperazione commerciale UE-Regno Unito abbia una sezione dedicata alla protezione dei dati. In particolare, i termini relativi alla privacy dell’accordo sulla Brexit prevedono, in relazione al trasferimento dei dati, che
- ci sarà un periodo transitorio massimo di 6 mesi in cui i trasferimenti di dati personali dall’UE verso il Regno Unito saranno liberi, con il Regno Unito che non sarà considerato un “paese terzo” e quindi non saranno necessarie clausole contrattuali standard o altri mezzi previsti dagli articoli 46 o 49 del GDPR, e allo stesso modo
- durante tale periodo, il Regno Unito ha riconosciuto che le leggi sulla privacy dello SEE sono adeguate per il trasferimento dei dati dal Regno Unito allo SEE; ma
- il periodo di transizione potrebbe essere più breve qualora la Commissione europea adottasse tempestivamente una decisione di adeguatezza; e
- per garantire che il Regno Unito non diventi la porta di accesso per i trasferimenti incontrollati verso paesi terzi, durante il periodo di transizione il Regno Unito non emetterà decisioni di adeguatezza ai sensi dell’articolo 45 o garanzie approvate ai sensi dell’articolo 46 per i trasferimenti senza la previa approvazione dell’UE.
Quanto sopra indicato significa che non vi è un vero e proprio compromesso. Non è stata presa alcuna decisione definitiva sui trasferimenti di dati personali e la partita è ancora abbastanza aperta.
Non c’è dubbio che entrambe le parti siano disposte a trovare un accordo ragionevole con la decisione della Commissione europea che le leggi del Regno Unito offrono un livello adeguato di protezione dei dati. Il periodo di transizione potrebbe essere il primo passo verso una decisione di adeguatezza.
Infatti, l’accordo prevede che “le Parti si impegnano a garantire flussi di dati transfrontalieri per facilitare gli scambi nell’economia digitale” che è una indicazione rilevante nella giusta direzione.
Inoltre, non vi è alcun riferimento alla presenza delle autorità britanniche in nessun organismo di protezione dei dati dell’UE, compreso il comitato europeo per la protezione dei dati durante tale periodo. Il Regno Unito potrà fare affidamento su questo “regime speciale” per un periodo di transizione e avrà restrizioni sui suoi “poteri designati“, il che dimostra che l’UE è piuttosto preoccupata di potenziali azioni da parte del governo britannico volte a minare le protezioni adottate all’interno dell’UE per proteggere i dati personali. E questo rischio è ulteriormente aumentato dopo la decisione della Corte di giustizia europea sul caso Schrems II, in cui le parti avevano assunto posizioni opposte.
I prossimi mesi sono ancora incerti, e le autorità dell’UE e del Regno Unito avranno ancora un compito duro durante questo semestre. Almeno alle imprese sono stati concessi altri 6 mesi per prepararsi al peggio, cioè alla mancanza di una decisione di adeguatezza, che è ancora un’opzione sul tavolo. E, a causa dell’atteggiamento degli ultimi accordi relativi alla Brexit, sembra probabile che le circostanze rimarranno poco chiare fino agli ultimi giorni del periodo di transizione…
Nel frattempo, un approccio sicuro sarebbe quello di eseguire una valutazione dell’impatto dei trasferimenti anche per i trasferimenti verso il Regno Unito. A questo proposito, un supporto può essere dato dalla metodologia di valutazione dell’impatto dei trasferimenti sviluppata da DLA Piper e dal nostro strumento di legal tech denominato “Transfer”.