Deal Brexit: raggiunto l’accordo di commercio e cooperazione

1. Introduzione: excursus della Brexit

Il percorso di uscita del Regno Unito (di seguito, “Regno Unito” o “UK”) dall’Unione europea (di seguito, “UE”), c.d. Brexit, è iniziato con il referendum del 23 luglio 2016, attraverso il quale i cittadini inglesi esprimevano la volontà di lasciare l’UE, notificata nel 2017 dal governo inglese al Consiglio europeo.

Contestualmente, si avviava quindi sia la procedura di recesso volontario e unilaterale di cui all’art. 50 del Trattato sull’Unione europea sia la negoziazione dell’accordo volto a disciplinare i termini e le condizioni dell’uscita del Regno Unito dall’UE.

Nel 2019 veniva stipulato il c.d. “Withdrawal Agreement”, entrato in vigore nel febbraio 2020, il quale prevedeva un periodo di transizione durante il quale i diritti e gli obblighi stabiliti a livello europeo continuavano ad applicarsi al Regno Unito fino al 31 dicembre 2020.

Quando ormai il periodo di transazione stava per giungere al termine e il no-deal Brexit sembrava poter essere l’unica opzione, il 24 dicembre 2020, la Commissione europea (“Commissione UE”) comunicava di aver raggiunto un accordo con il Regno Unito sui termini della loro futura cooperazione, il c.d. “Trade and Cooperation Agreement” (l’“Accordo”).

Considerando che l’Accordo regola i molteplici settori contemplati dal diritto dell’UE, il presente contributo ha lo scopo di approfondire e analizzare unicamente gli aspetti rilevanti in materia di protezione dei dati personali.

2. Cosa prevede l’Accordo

Giova premettere che, come conseguenza della Brexit, il Regno Unito ha perso tutti i diritti e i benefit che possedeva in qualità di Stato membro dell’UE, non risultando più soggetto all’applicazione degli accordi stipulati e in essere a livello europeo. La diretta conseguenza dell’uscita del Regno Unito dall’UE è quindi:

• l’interruzione della libera circolazione delle persone, delle merci e dei servizi; nonché
• la formazione di due mercati separati, due spazi normativi e legali distinti, all’interno del quale non trovano più applicazione le normative europee vigenti (quali – a titolo esemplificativo e non esaustivo – il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“GDPR”).

Nonostante quanto sopra, l’Accordo ha lo scopo di fornire una solida base per preservare la cooperazione che, nell’arco degli anni, ha caratterizzato i rapporti tra UE e UK. Infatti, l’Accordo è costituito da:

• un accordo di libero scambio, avente ad oggetto non solo il commercio di beni e servizi, ma anche una vasta gamma di altri settori nell'interesse dell'UE, quali a titolo esemplificativo gli investimenti, la concorrenza, gli aiuti di Stato, la trasparenza fiscale, il trasporto aereo e stradale, l'energia e la sostenibilità, la pesca, la protezione dei dati e il coordinamento della sicurezza sociale;
• una partnership per la sicurezza dei cittadini, la quale stabilisce un nuovo schema per l'applicazione della legge e la cooperazione giudiziaria in materia di diritto penale e civile, riconoscendo la necessità di una solida cooperazione tra le autorità di polizia e giudiziarie nazionali per combattere e perseguire la criminalità transfrontaliera e il terrorismo; nonché
• un quadro di governance globale finalizzato sia a dare la massima certezza giuridica alle imprese, ai consumatori e ai cittadini, sia a fornire informazioni chiare su come l'Accordo verrà gestito e controllato.

Si precisa che, su specifica richiesta del Regno Unito, alcune materie non sono state oggetto di negoziazione, quali ad esempio la cooperazione in materia di politica estera, sicurezza e difesa, nonché eventuali decisioni di adeguatezza in merito al regime di protezione dei dati personali assicurato dal Regno Unito stesso.

Al fine di agevolare la comprensione del contenuto dell’Accordo, di seguito viene fornito un breve quadro riassuntivo[1]:

3. Le novità in materia di trasferimento e protezione dei dati personali

Con riferimento alla protezione dei dati personali, si segnala che una delle implicazioni della Brexit è la non applicabilità del GDPR e la conseguente classificazione del Regno Unito quale “Paese terzo” nell’ambito dei trasferimenti dei dati personali.

Tale classificazione implica che, qualsiasi trasferimento di dati personali dall’UE verso il Regno Unito dovrà essere disciplinato dalle specifiche norme di cui Capo V del GDPR, rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” (artt. 44 – 49, GDPR), applicandosi il disposto dell’art. 44 del GDPR, secondo cui “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento” (i.e. decisione di adeguatezza, garanzie adeguate, norme vincolanti d’impresa). Trattasi delle garanzie che i Paesi terzi o le organizzazioni internazionali devono possedere in caso di trasferimenti di dati personali per dimostrare di garantire il rispetto delle disposizioni del GDPR.

Sul tema, l’Accordo prevede l’impegno, assunto da entrambe le parti, a garantire elevati livelli di protezione dei dati personali. Tali standard devono essere accertati da decisioni di adeguatezza adottate unilateralmente da ciascuna parte. Nel caso dell’UE, la Commissione UE dovrebbe adottare la decisione di adeguatezza di cui all’art. 45, GDPR, la quale rappresenta una garanzia volta ad assicurare che il Paese terzo cui la decisione si riferisce (nel caso di specie, UK), garantisce un livello di protezione dei dati personali adeguato agli standard europei.

Si segnala che, ad oggi, sebbene la Commissione UE abbia lavorato intensamente alla predetta decisione, la stessa non è stata ancora adottata. In ogni caso, la Commissione UE si è dichiarata disponibile, non appena possibile, ad avviare il processo di adozione della decisione che, previo parere positivo dell’European Data Protection Board e degli Stati membri dell’UE, porterà alla qualificazione del Regno Unito quale Paese in grado di garantire un livello di protezione dei dati personali adeguato.

In attesa della decisione, l’Accordo ha previsto delle disposizioni transitorie per la trasmissione di dati personali al Regno Unito, le quali garantiscono la piena continuità e stabilità dei flussi di dati tra UE e UK[2].

In particolare, ai sensi dell’art. FinProv 10A dell’Accordo[3] è previsto che i trasferimenti dei dati personali verso il Regno Unito potranno continuare a svolgersi liberamente finché non venga adottata una decisione di adeguatezza da parte della Commissione UE e comunque non oltre sei mesi dalla data di entrata in vigore dell’Accordo (1° gennaio 2021). Pertanto, nell’arco temporale sopra individuato, i trasferimenti dei dati dall’UE verso il Regno Unito non dovranno essere considerati trasferimenti verso un Paese terzo ai sensi del GDPR.

I trasferimenti di cui sopra possono aver luogo a condizione che il Regno Unito non eserciti i suoi “nuovi” poteri riconosciuti nell’ambito dei trasferimenti internazionali, quali a titolo esemplificativo e non esaustivo, l’adozione di nuove (i) decisioni di adeguatezza, (ii) Standard Contractual Clauses, (iii) Binding Corporate Rules, nonché (iv) accordi amministrativi da parte dell’Autorità di controllo inglese, l’Information Commissioner’s Office (“ICO”)[4].

In caso contrario, il Regno Unito sarebbe considerato come Paese terzo.

Invece, con riferimento ai trasferimenti dal Regno Unito all’UE, si noti che già in precedenza, sebbene solamente in via transitoria, lo stesso aveva già espresso il suo parere favorevole nel ritenere la protezione dei dati personali assicurata dagli Stati dell'UE adeguata alla propria normativa interna, consentendo così il trasferimento di dati dal Regno Unito.

Pertanto, alla luce di questo ulteriore periodo di ultrattività del GDPR nei trasferimenti UE-UK e viceversa, le società potranno continuare a contare su un libero trasferimento dei dati personali, senza dover apportare alcuna modifica alle loro policies sulla protezione dei dati.

4. La sentenza Schrems II e le sue ripercussioni sull’eventuale decisione di adeguatezza del Regno Unito

In tale contesto, non può essere assolutamente tralasciata la sentenza della Corte di Giustizia dell’Unione europea (“CGUE”) pubblicata lo scorso 16 luglio 2020 (c.d. “Schrems II”) che ha statuito l’invalidità della decisione di adeguatezza adottata dalla Commissione EU ai sensi dell’art. 45 del GDPR relativa al Privacy Shield (i.e., Decisione 2016/1250 “sull’adeguatezza della protezione offerta dal regime dello scudo UE - USA per la privacy”) in ragione del diritto interno degli Stati Uniti che consente alle autorità pubbliche di accedere – per finalità di tutela della sicurezza nazionale – ai dati personali trasferiti dall’UE.

Le ragioni della CGUE poste alla base di tale sentenza sono rinvenibili nella legislazione americana in quanto:

• limitando la protezione dei dati personali, non soddisfa i requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE;
• non accorda ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

L’incertezza della sorte dei trasferimenti dall’UE agli Stati Uniti rende necessariamente incerta anche l’eventuale adozione di una decisione di adeguatezza della Commissione UE nei confronti del Regno Unito. Ciò in ragione del fatto che quest’ultimo ha stipulato un accordo con gli Stati Uniti relativo all’accesso ai dati elettronici per combattere la criminalità[5] (“Accordo UK-US”).

In particolare, si segnala che nel processo di valutazione dell’adeguatezza del livello di protezione assicurato dal Pese terzo, la Commissione UE prende in considerazione in particolare i seguenti elementi (art. 45, comma 2, GDPR):

• lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
• l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e
• gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.

Alla luce di quanto sopra, è ragionevole ritenere che la Commissione UE, nell’ambito delle sue valutazioni propedeutiche all’adozione della decisione di adeguatezza, dovrà necessariamente tenere in considerazione l’Accordo UK-US ed in particolare dovrà valutare la possibilità per il Regno Unito di rispettare l’obbligo di garantire la continuità della protezione dei dati personali in caso di trasferimenti successivi dal Regno Unito stesso a un altro Paese terzo.

In particolare, con una lettera destinata al Parlamento europeo del 15 giugno 2020, l’European Data Protection Board, a seguito di uno studio approfondito dell’Accordo UK-US, si è mostrato dubbioso circa l’applicabilità delle garanzie previste dall'Accordo UK-US per l'accesso ai dati personali nel Regno Unito in caso di obblighi di divulgazione applicabili ai fornitori di servizi di comunicazione elettronica o di servizi informatici imposti da leggi nazionali statunitensi.

Sul punto, l’European Data Protection Board ha altresì osservato come, lato europeo, la Commissione UE abbia avviato i negoziati per la conclusione di un accordo UE-USA per facilitare l'accesso alle prove “elettroniche” nelle indagini penali, stabilendo la prevalenza di tale accordo sulle leggi interne statunitensi e prevedendo adeguate misure di protezione per la protezione dei dati al fine di essere pienamente compatibile con il diritto primario e secondario dell'UE. Ciò comprende, in particolare, la garanzia della continuità della protezione dei dati in caso di condivisione e trasferimenti successivi.

In conclusione, è ragionevole ritenere che le medesime condizioni dovrebbero essere esistenti anche con riferimento alla decisione di adeguatezza della Commissione UE nei confronti del Regno Unito, pena l’impossibilità di procedere con l’adozione della decisione.

5. Conclusioni

Alla luce di quanto sopra esposto, sebbene l’Accordo sia stato pubblicato appena prima della scadenza del periodo di transizione prevista per il 31 dicembre 2020, lo stesso sembra non introdurre le importanti novità attese in materia di protezione dei dati personali.

Infatti, nonostante sia stato accordato un ulteriore periodo di sei mesi per trasferire liberamente i dati personali, nel suo statement del 28 dicembre 2020, l’ICO ha comunque raccomandato alle imprese di collaborare con le organizzazioni dell'UE che trasferiscono loro dati personali, per mettere in atto meccanismi di trasferimento alternativi, al fine di salvaguardarsi da qualsiasi interruzione del libero flusso di dati personali dall'UE al Regno Unito[6].

Infine, con riferimento alla rivoluzione in materia di trasferimenti di dati personali introdotta dalla sentenza Schrems II, non è ancora chiaro quali saranno le effettive conseguenze, anche economiche, di tale fenomeno. Ciò che risulta pacifico è che la CGUE ha confermato l’importanza e la supremazia del modello di protezione dei dati personali realizzato dall’UE, fondato sull’individuo e sui diritti riconosciutigli.

[1] “EU-UK Trade and Cooperation Agreement A new relationship, with big changes”, p. 3. Il documento è disponibile al presente link: https://ec.europa.eu/info/files/eu-uk-trade-and-cooperation-agreement-new-relationship-big-changes-brochure_en .

[2] Art. FINPROV.10A dell’Accordo: Interim provision for transmission of personal data to the United Kingdom del Trade and Cooperation Agreement, p. 414 ss. Il testo dell’Accordo è disponibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2531.

[3] Art. FINPROV.10A dell’Accordo: “For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law, provided that the data protection legislation of the United Kingdom on 31 December 2020, as it is saved and incorporated into United Kingdom law by the European Union (Withdrawal) Act 2018 and as modified by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 201987 (“the applicable data protection regime”), applies and provided that the United Kingdom does not exercise the designated powers without the agreement of the Union within the Partnership Council”.

[4] Art. FINPROV.10A, comma 3 dell’Accordo: “In this Article, the “designated powers” means the powers:

1. to make regulations pursuant to sections 17A, 17C and 74A of the UK Data Protection Act 2018;
2. to issue a new document specifying standard data protection clauses pursuant to section 119A of the UK Data Protection Act 2018;
3. to approve a new draft code of conduct pursuant to Article 40(5) of the UK GDPR, other than a code of conduct which cannot be relied on to provide appropriate safeguards for transfers of personal data to a third country under Article 46(2)(e) of the UK GDPR;
4. to approve new certification mechanisms pursuant to Article 42(5) of the UK GDPR, other than certification mechanisms which cannot be relied on to provide appropriate safeguards for transfers of personal data to a third country under Article 46(2)(f) of the UK GDPR;
5. to approve new binding corporate rules pursuant to Article 47 of the UK GDPR;
6. to authorise new contractual clauses referred to in Article 46(3)(a) of the UK GDPR; or
7. to authorise new administrative arrangements referred to in Article 46(3)(b) of the UK GDPR”.

[5] “Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime” del 3 ottobre 2019, disponibile al seguente link: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf .

[6] Statement dell’ICO del 28 dicembre 2020, disponibile al seguente link: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/12/ico-statement-in-response-to-uk-governments-announcement-on-the-extended-period-for-personal-data-flows-that-will-allow-time-to-complete-the-adequacy-process/ .