x

x

Brexit e conseguenze sulla protezione dei dati personali

Marina di Ravenna
Ph. Ermes Galli / Marina di Ravenna

Indice:

1. La Brexit e il percorso normativo in materia di protezione dei dati personali

2. Il trasferimento dei dati verso l’UK e le bozze di decisione di adeguatezza

3. Il bridging mechanism applicabile fino al 30 giugno 2021

4. Il regime applicabile dal 30 giugno 2021 in caso di mancata adozione delle decisioni di adeguatezza

5. Le deroghe alle regole sui trasferimenti dei dati personali

 

1. La Brexit e il percorso normativo in materia di protezione dei dati personali.

Il processo di Brexit avviato il 31 gennaio 2020 dal Regno Unito per recedere dall’Unione Europea si è concluso il 31 dicembre 2020 e, a partire dal 1° gennaio 2021.

Nell’ambito della disciplina sulla protezione dei dati personali, il Regno Unito, durante il periodo di transizione e dunque fino al 31 dicembre 2020, ha continuato ad applicare il diritto dell’Unione Europea. Nello specifico, il quadro legislativo sulla protezione dei dati personali nel Regno Unito, prima del recesso dall’Unione Europea e durante il periodo di transizione, era costituito dalla pertinente legislazione europea (Regolamento UE 2016/679 (GDPR) e la Direttiva UE 2016/680) e dalla legislazione nazionale, in particolare dal Data Protection Act 2018 (DPA 2018) che ha dettato le norme di dettaglio negli ambiti consentiti dal GDPR e ha recepito la Direttiva UE 2016/680.

Allo scopo di preparare il recesso dall’Unione Europea, il governo del Regno Unito ha emanato l’European Union (Withdrawal) Act 2018 il quale ha incorporato nel diritto del Regno Unito il GDPR nella sua interezza, inclusi i suoi Considerando, dando vita al cosiddetto “retained EU law” che deve essere interpretato dai giudici del Regno Unito conformemente alla pertinente giurisprudenza della Corte di giustizia europea e ai principi generali del diritto dell’Unione in vigore immediatamente prima della fine del periodo di transizione (denominati rispettivamente “retained EU case law” e “retained general principles of EU law”).

In forza dell’European Union (Withdrawal) Act 2018, i ministri del Regno Unito hanno il potere di introdurre la legislazione secondaria, tramite strumenti statutari, per apportare le modifiche necessarie al “retained EU law” conseguenti al ritiro del Regno Unito dall’Unione europea.

I Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (DPPEC Regulations) rappresentano l’espressione dell’esercizio di questo potere.

Tali regolamenti hanno modificato il GDPR introdotto nel diritto del Regno Unito attraverso l’European Union (Withdrawal) Act 2018, il DPA 2018 e altre normative sulla protezione dei dati per adattarsi al contesto interno, tuttavia si tratta di modifiche per lo più di natura tecnica, come l’eliminazione dei riferimenti agli Stati membri, o di adeguamento della terminologia, come per esempio la sostituzione dei riferimenti al GDPR UE con i riferimenti al GDPR UK. In alcuni casi, le modifiche sono state necessarie per riflettere la dimensione puramente nazionale delle disposizioni, ad esempio per quanto riguarda chi adotta i regolamenti di adeguatezza ai fini del quadro legislativo sulla protezione dei dati del Regno Unito (cioè il Segretario di Stato anziché la Commissione europea).

In conclusione, le principali fonti in tema di protezione dei dati personali nel Regno Unito dopo la fine del periodo di transizione consistono nel:

  • Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR), ossia il GDPR UE incorporato nel diritto del Regno Unito mediante l’European Union (Withdrawal) Act 2018 e modificato dai regolamenti DPPEC, e nel
  • DPA 2018, come modificato dai Regolamenti DPPEC.

 

2. Il trasferimento dei dati verso l’UK e le bozze di decisione di adeguatezza

Secondo il principio generale di cui all’articolo 44 del GDPR, il trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo è ammesso se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni contenute nel Capo V del GDPR.

L’applicazione delle suddette disposizioni ha l’essenziale finalità di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato a seguito di un trasferimento dei dati fuori dallo Spazio Economico Europeo (ossia l’Unione europea inclusa la Norvegia, il Liechtenstein e l’Islanda).

Dal 1° gennaio 2021, dunque, il flusso di dati personali verso il Regno Unito, in quanto paese terzo rispetto all’Unione Europea, dovrebbe dunque essere regolato ai sensi del Capo V del GDPR.

In primissima battuta e senza la necessità di autorizzazioni specifiche, il trasferimento di dati personali verso un paese terzo può aver luogo ai sensi dell’articolo 45 del GDPR se la Commissione europea ritiene che il paese terzo garantisce un livello di protezione adeguato e, al termine del proprio processo di valutazione che coinvolge anche il Comitato europeo per la protezione dei dati (EDPB), adotta un atto di esecuzione (la cosiddetta decisione di adeguatezza) il quale sarà poi soggetto ad un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo, pena, in caso di intervenuta difformità, la revoca, la modifica o la sospensione della decisione senza effetto retroattivo.

In quest’ottica ha lavorato la Commissione europea che il 19 febbraio 2021 ha pubblicato due progetti di decisione sull’adeguatezza del livello di protezione del Regno Unito dando così il via al tanto atteso processo per la loro adozione.

Tali progetti rappresentano, infatti, un passo fondamentale per l’agevole mantenimento degli stretti legami commerciali, politici e sociali tra l’Unione Europea ed il Regno Unito. Una bozza di decisione è stata predisposta ai sensi del GDPR e l’altra, per la prima volta, ai sensi Direttiva EU 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie dal momento che la Commissione, dopo una attenta analisi, ha valutato che il diritto e le prassi del Regno Unito garantiscono un livello di protezione sostanzialmente equivalente a quello assicurato ai sensi delle suddette normative.

Il percorso normativo di “mantenimento” del GDPR seguito dal Regno Unito in materia di protezione dei dati personali permette già di intuire che sostanzialmente molti aspetti, sia in termini di struttura che di componenti principali, del cosiddetto GDPR UK rispecchiano molto similmente le corrispondenti norme del GDPR UE.

Sia l’UK GDPR che la legge britannica in materia di protezione dei dati, il Data Protection Act del 2018, prevedono infatti garanzie, diritti individuali, obblighi per i titolari del trattamento e i responsabili del trattamento e mezzi di ricorso analoghi a quelli disponibili ai sensi del diritto dell’Unione europea.

È stato inoltre evidenziato dalla Commissione europea, come elemento di particolare rilevanza nella valutazione della decisione di adeguatezza in linea con il Considerando 105 del GDPR, che il quadro normativo britannico non è stato solo modellato dal diritto europeo ma che si basa anche su obblighi che sono stati sanciti dal diritto internazionale.

In particolare, il Regno Unito si è impegnato a rimanere parte della Convenzione europea dei diritti dell’uomo e della Convenzione 108 del Consiglio d’Europa che costituisce l’unico strumento in materia di protezione dei dati vincolante a livello internazionale.

La permanenza di queste adesioni, sebbene il Regno Unito non faccia più parte dell’Unione europea, risulta particolarmente significativo in termini di stabilità e durata degli accertamenti di adeguatezza proposti. Come ha dichiarato Věra Jourová, Vicepresidente per i Valori e la trasparenza della Commissione europea, “Garantire un flusso libero e sicuro di dati personali è fondamentale per le impese e i cittadini su entrambe le sponde della Manica. Il Regno Unito rimane un membro della famiglia europea in materia di protezione della vita privata. Allo stesso tempo, dovremmo garantire che la nostra decisione resista alla prova del tempo. Per questo motivo abbiamo incluso dei meccanismi chiari e rigorosi, in termini sia di monitoraggio che di riesame, sospensione o revoca di tali decisioni, al fine di affrontare possibili sviluppi problematici del sistema britannico una volta concessa l’adeguatezza”.

Le bozze di decisione in questo momento si trovano sotto il vaglio dell’EDPB che fornirà un parere finale, non vincolante, alla Commissione europea e ai rappresentanti degli Stati membri dell’Unione Europea, cui dovrà seguire il via libera di un comitato composto da questi ultimi prima dell’adozione finale da parte della Commissione.

 

3. Il bridging mechanism applicabile fino al 30 giugno 2021

Attualmente le comunicazioni di dati personali verso il Regno Unito proseguono godendo della copertura del regime transitorio previsto nell’Accordo sugli scambi commerciali e la cooperazione stipulato il 30 dicembre 2020 tra l’Unione europea ed il Regno Unito il quale rappresenta una base giuridica per preservare la continuità delle relazioni con l’Europa e la cooperazione in diversi settori di interesse economico, ambientale e sociale nel rispetto dei principi democratici e dei diritti fondamentali dell’uomo.

Nello specifico l’Articolo FINPROV.10 bis che reca le Disposizioni provvisorie per la trasmissione di dati personali al Regno Unito enuncia che fino al 30 giugno 2021 la trasmissione dei dati personali dall’Unione al Regno Unito non è da considerarsi un trasferimento a un paese terzo ai sensi del diritto dell’Unione, a condizione che si applichi la normativa del Regno Unito in materia di protezione dei dati al 31 dicembre 2020, così come mantenuta e integrata nel diritto del Regno Unito dalla legge European Union (Withdrawal) Act 2018 e modificata dalla legge Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations e a condizione che il Regno Unito non eserciti, senza l’accordo dell’Unione, i seguenti “poteri designati”:

  1. Adottare disposizioni regolamentari (decisioni di adeguatezza) a norma degli articoli 17A, 17C e 74 A della legge Data Protection Act 2018 del Regno Unito;
  2. Emettere un nuovo documento che specifichi le clausole tipo di protezione dei dati ai sensi dell’articolo 119A della legge Data Protection Act 2018 del Regno Unito;
  3. Approvare un nuovo progetto di codice di condotta a norma dell’articolo 40, paragrafo 5, del regolamento generale sulla protezione dei dati (GDPR) del Regno Unito, diverso da un codice di condotta che non possa essere invocato per fornire garanzie adeguate per i trasferimenti di dati personali a un paese terzo a norma dell’articolo 46, paragrafo 2, lettera e), del GDPR del Regno Unito;
  4. Approvare nuovi meccanismi di certificazione a norma dell’articolo 42, paragrafo 5, del GDPR del Regno Unito, diversi da meccanismi di certificazione che non possano essere invocati per fornire garanzie adeguate per i trasferimenti di dati personali a un paese terzo a norma dell’articolo 46, paragrafo 2, lettera f), del GDPR del Regno Unito;
  5. Approvare nuove norme vincolanti d’impresa a norma dell’articolo 47 del GDPR del Regno Unito;
  6. Autorizzare nuove clausole contrattuali di cui all’articolo 46, paragrafo 3, lettera a), del GDPR del Regno Unito, o
  7. Autorizzare nuovi accordi amministrativi di cui all’articolo 46, paragrafo 3, lettera b), del GDPR del Regno Unito.

In base all’Accordo qualora il Regno Unito modifichi il regime di protezione applicabile o eserciti i suddetti poteri designati senza l’accordo dell’Unione, cesserebbe di applicarsi il regime previsto per questo periodo transitorio.

Si specifica però che tra i poteri designati soggetti alla disciplina non rientra l’esercizio di tali poteri il cui effetto sia limitato all’allineamento con la pertinente normativa dell’Unione in materia di protezione dei dati e che non è da considerarsi una modifica del regime di protezione dei dati, bensì parte dell’attività di integrazione nel diritto dell’Unione, qualunque atto adottato con l’accordo dell’Unione o che, come già detto, sia limitato all’allineamento con la pertinente normativa dell’unione in materia di protezione dei dati.

Rispetto ai flussi di dati personali che partono dal Regno Unito e che sono diretti verso l’Unione Europea, dal 1° gennaio 2021 si applica la disciplina della legislazione britannica che ha stabilito che l’Unione Europea garantisce un livello di protezione adeguato e che di conseguenza i dati si possono trasferire liberamente.

 

4. Il regime applicabile dal 30 giugno 2021 in caso di mancata adozione delle decisioni di adeguatezza

Se il ponte rappresentato dall’Accordo sugli scambi e la cooperazione, una volta terminato, non dovesse giungere alla decisione di adeguatezza del Regno Unito, allora entrerà in gioco l’articolo 46 del GDPR e l’esportatore europeo dei dati personali dovrà assicurarsi che presso l’importatore siano presenti salvaguardie appropriate.

L’articolo 46 del GDPR prevede, infatti, una serie di strumenti alternativi e recita che “in assenza della decisione della Commissione è ammesso il trasferimento qualora il titolare del trattamento o il responsabile del trattamento fornisca particolari garanzie e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”.

Tra le garanzie adeguate possiamo distinguere quelle non soggette all’autorizzazione specifica dell’Autorità di controllo competente:

  • Strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (articolo 46, paragrafo 2, lettera a del GDPR) quando i trasferimenti sono effettuati da autorità pubbliche o da organismi pubblici verso altre autorità o organismi pubblici stabiliti in paesi terzi;
  • Le norme vincolanti d’impresa (articolo 46, paragrafo 2, lettera b del GDPR) che rappresentano un meccanismo utile e agevole per le società multinazionali al fine di gestire i flussi di dati nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese. Sono conosciute come Binding Corporate Rules (BCR) in quando sono costituite da un insieme di clausole che fissano principi vincolanti per le entità che operano all’interno di uno stesso gruppo esportando ed importando dati in qualità di titolari del trattamento o di responsabili del trattamento.
  •  Le clausole tipo di protezione dati, le cosiddette Standard Contractual Clauses (SCCs), (articolo 46, par. 2, lettera c e lettera d del GDPR) adottate dalla Commissione europea o dall’Autorità di controllo competente previa approvazione della Commissione europea che possono essere inserite all’interno di un contratto sul trasferimento più generale e grazie alle quali l’esportatore dei dati garantisce che il trattamento sia effettuato nel rispetto dei principi del GDPR anche nel Paese terzo di destinazione. Tali clausole devono essere sottoscritte dalle parti, non possono essere emendate ma vi si possono aggiungere clausole ulteriori purché non in conflitto, neanche indirettamente, con le clausole tipo.
  • I codici di condotta (articolo 46, paragrafo 2, lettera e del GDPR) che sono strumenti con efficacia vincolante ed esecutiva con cui il titolare del trattamento o il responsabile del trattamento del paese terzo si impegna ad applicare garanzie adeguate, anche rispetto all’esercizio dei diritti degli interessati
  • I meccanismi di certificazione (articolo 46, paragrafo 2, lettera f del GDPR) se corredati dall’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

E le garanzie previa autorizzazione dell’Autorità di controllo:

  • Le clausole contrattuali ad hoc (articolo 46, paragrafo 3, lettera a del GDPR) che offrono adeguate garanzie in situazioni specifiche e che appunto necessitano dell’autorizzazione della competente autorità di controllo nazionale, previo parere del Comitato europeo della protezione dei dati;
  • Gli accordi amministrativi tra autorità o organismi pubblici mediante disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati. (articolo 46, paragrafo 3, lettera b del GDPR).

 

5. Le deroghe alle regole per il trasferimento dei dati personali

In assenza di tutti i suddetti presupposti, in via residuale, è possibile trasferire i dati personali verso paesi terzi sulla base di alcune deroghe applicabili in specifiche situazioni previste all’articolo 49 del GDPR purché esse non comportino una violazione dei diritti fondamentali dell’interessato.

Si tratta di ipotesi eccezionali rispetto al principio generale della decisione di adeguatezza o dell’adozione di garanzie specifiche che possono operare in ristrette circostanze analizzate nel dettaglio dal Comitato europeo per la protezione dei dati personali con le Linee guida 2/2018.

Esse sono:

  • Il consenso esplicito dell’interessato rispetto allo specifico trasferimento dei suoi dati che sia previamente informato sui possibili rischi del trasferimento;
  • L’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento o l’esecuzione di misure precontrattuali adottate su istanze dell’interessato che rendano necessario un trasferimento occasionale dei dati;
  • La conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato che renda necessario il trasferimento occasionale di dati personali;
  • Importanti motivi di interesse pubblico che rendano necessario il trasferimento (per esempio in costanza di un accordo o di una convenzione internazionale che stabilisca un determinato obiettivo di rilevante interesse pubblico);
  • L’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria che renda necessario il trasferimento occasionale dei dati (come ad esempio nel caso di un’indagine penale o amministrativa in un paese terzo);
  • La tutela di interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso, che rende necessario il trasferimento dei dati (come nel caso di assistenza sanitaria urgente dell’interessato che si trovi fuori dall’UE in stato di incoscienza e siano necessari i dati del suo medico curante);
  • La trasmissione di informazioni al pubblico che giustificano il trasferimento dei dati contenuti un registro pubblico (per esempio da i registri delle imprese o dal registro del casellario giudiziale).

Quale extrema ratio, se dunque non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46 (comprese le disposizioni sulle norme vincolanti d’impresa) o su nessuna delle deroghe specifiche, è possibile applicare la deroga del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportatore dei dati su cui non prevalgano gli interessi e le libertà dell’interessato.

Non si deve trattare di semplici interessi legittimi (articolo 6, paragrafo 1, lettera f) ma di interessi essenziali per il titolare del trattamento come per esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave e immediato.