La Commissione UE adotta la decisione di adeguatezza per il trasferimento dei dati personali per il Regno Unito

La Commissione Europea ha annunciato l’adozione di due decisioni di adeguatezza per il trasferimento dei dati nel Regno Unito.

La Commissione Europea ha annunciato l’adozione di due decisioni di adeguatezza sul trasferimento dei dati personali per il Regno Unito: la prima, ai sensi del GDPR e la seconda per la Law Enforcement Directive (LED). Non sarà necessario quindi fare affidamento ad esempio sulle Clausole Contrattuali Standard per i trasferimenti di dati personali in UK.

Le decisioni sono destinate a sortire un forte impatto nello scenario economico e geo-politico tra UE e Regno Unito dell’era post-Brexit. I dati personali dei cittadini europei potranno ora essere trasferiti liberamente dall’UE al Regno Unito, beneficiando di un livello di protezione essenzialmente equivalente a quello garantito dal diritto dell’Unione europea. Le decisioni di adeguatezza vanno contestualizzate nel più ampio quadro di attuazione dell’accordo commerciale e di cooperazione tra UE-Regno Unito (TCA), che prevede lo scambio di informazioni personali per finalità convergenti, ad esempio ai fini della cooperazione in materia giudiziaria.

Alla luce delle decisioni di adeguatezza, il quadro normativo in materia di protezione dei dati personali del Regno Unito continuerà a fondarsi sulle stesse regole che erano applicabili quando il Regno Unito era uno Stato membro dell’UE. In tal senso, secondo i rilievi della Commissione, il Regno Unito ha compiutamente incorporato i principi, i diritti e gli obblighi del GDPR e della LED nel proprio sistema giuridico post-Brexit.

Per quanto riguarda l’accesso ai dati personali da parte delle autorità pubbliche e di intelligence nel Regno Unito – argomento oggetto di forti contrasti in sede di dibattito parlamentare – la Commissione Europea sostiene che il sistema britannico preveda forti garanzie. In particolare, la raccolta di dati da parte delle autorità di intelligence è, in linea di principio, soggetta ad autorizzazione preventiva da parte di un organo giudiziario indipendente e può essere contestata dal cittadino interessato.

Le due decisioni, inoltre, valutano positivamente l’adesione del Regno Unito alla Convenzione Europea dei Diritti dell’Uomo e alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione n. 108), che è l’unico trattato internazionale vincolante nel campo della protezione dei dati. In aggiunta, il Regno Unito continua ad essere soggetto alla giurisdizione della Corte Europea dei Diritti dell’Uomo.

Degna di nota, la scelta di includere nelle Decisioni la cosiddetta “sunset clause“, che limita la durata dell’adeguatezza a quattro anni, riservando alla Commissione Europea il potere di monitorare attivamente lo framework in materia di privacy garantito dal diritto britannico e di non rinnovare la decisione ove fossero riscontate gravi criticità. È evidente l’intenzione della Commissione Europea di introdurre solide salvaguardie in caso di potenziali divergenze future. Infatti, si prevede espressamente che la Gran Bretagna adotterà in questo periodo provvedimenti che allontaneranno il regime sulla privacy locale dal GDPR, il che potrebbe portare alla revoca della decisione. In tale contesto ci si può chiedere se sia prudente gestire i trasferimenti dei dati senza una clausola “paracadute” che preveda l’applicabilità delle Clausole Contrattuali Standard in caso invalidazione della decisione di adeguatezza. Allo stesso modo, potrebbe essere raccomandabile svolgere un transfer impact assessment anche con riferimento ai trasferimenti verso la Gran Bretagna.

L’art. 45 del GDPR stabilisce che il trasferimento di dati personali verso un paese terzo extra-UE o al di fuori dello Spazio Economico Europeo (SEE) è ammesso ove la Commissione abbia deciso che tale paese terzo garantisce un livello di protezione dei dati adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche o l’adozione delle misure di garanzia prescritte dagli artt. 46-49 del GDPR. Al momento, come si può constatare dal sito ufficiale della Commissione Europea, tredici Paesi vantano una disciplina in ambito data protection considerata equiparabile a quella comunitaria. Tuttavia, dopo le limitazioni imposte dalla Sentenza Schrems II, il novero dei Paesi “adeguati”, ragionevolmente, è destinato ad estendersi: nei prossimi mesi è attesa anche una decisione di adeguatezza per la Corea del Sud.

Su un simile argomento potrebbe essere interessante l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?