Brexit, la Commissione europea pubblica due bozze di decisioni di adeguatezza

Lo scorso 19 febbraio 2021, la Commissione europea ha pubblicato due bozze di decisioni di adeguatezza per i trasferimenti di dati personali dall’Unione europea verso il Regno Unito, la prima ai sensi del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”) e la seconda ai sensi della Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (“Direttiva LED“).

Qualora adottate, queste decisioni permetteranno di continuare a trasferire liberamente dati personali dall’UE al Regno Unito.

Le decisioni di adeguatezza della Commissione europea

Si premette che l’art. 45, comma 3 del GDPR e l’art. 36, comma 3 della Direttiva LED conferiscono alla Commissione europea il potere di decidere, mediante un atto di esecuzione, se un Paese terzo assicuri o meno “un livello adeguato di protezione“, cioè un livello di protezione dei dati personali che è sostanzialmente equivalente al livello di protezione garantito all’interno dell’Unione europea. Così, se il livello di protezione dei dati personali assicurato da un determinato Paese terzo è considerato “adeguato”, i trasferimenti di dati personali dall’Unione europea verso questo Paese possono aver luogo senza essere soggetti alle ulteriori condizioni di cui agli artt. 46 e ss. del GDPR.

Alla luce di quanto sopra, negli ultimi mesi, al fine di valutare l’adeguatezza del Regno Unito, la Commissione europea ha esaminato attentamente sia la normativa sia la prassi inglese in materia di protezione dei dati personali, comprese le norme sull’accesso ai dati personali da parte di autorità pubbliche.

In particolare, la Commissione europea  ha analizzato il cosiddetto “UK GDPR” e il Data Protection Act 2018, basati entrambi sia sul GDPR sia sulla Direttiva LED. Da ciò ne deriva che la normativa inglese prevede tutele, i diritti, obblighi per i titolari e i responsabili del trattamento, regole sui trasferimenti internazionali, nonché un sistema di supervisione e mezzi di ricorso simili a quelli garantiti all’interno dell’Unione europea.

A seguito della predetta analisi, la Commissione europea ha quindi ritenuto che il Regno Unito sia in grado di assicurare un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR e, per la prima volta, dalla Direttiva LED.

La Commissione europea ha, inoltre, sottolineato che, nonostante la normativa inglese in materia di trattamento di dati personali sia attualmente stata influenzata da quella europea, è necessario che le valutazioni sull’adeguatezza ad oggi svolte dalla Commissione europea siano valide anche per il futuro, non facendo più parte il Regno Unito dell’Unione europea. Per tale ragione, la Commissione europea ha dichiarato che le decisioni di adeguatezza, se adottate, saranno valide per un periodo di quattro anni, a conclusione del quale l’adeguatezza potrebbe essere confermata nuovamente solo se il livello di protezione dei dati personali nel Regno Unito continuerà ad essere adeguato.

Inoltre, considerate le recenti novità introdotte dalla sentenza “Schrems II” della Corte di Giustizia dell’UE[1], la Commissione europea – nell’ambito delle sue valutazioni sul livello di protezione dei dati personali assicurato nel Regno Unito – non poteva non tenere in considerazione eventuali norme inglesi in materia di sicurezza nazionale. A tal fine, le bozze di decisioni di adeguatezza includono altresì una valutazione dettagliata delle condizioni e delle limitazioni nonché dei meccanismi di supervisione e dei rimedi applicabili in caso di accesso ai dati da parte di autorità pubbliche per finalità di tutela della sicurezza nazionale.

Prossimi passi

La pubblicazione delle bozze di decisione di adeguatezza è l’inizio di un procedimento che, ove completato, porterà alla definitiva adozione delle decisioni stesse da parte della Commissione europea. Affinché ciò avvenga, sarà necessario ottenere un parere dell’European Data Protection Board e il via libera di un apposito comitato composto dai rappresentanti dei vari Stati membri dell’UE.

Conclusioni

Si ricorda che il Regno Unito è tuttora (e si è impegnato a rimanere) parte della Convenzione europea dei diritti dell’uomo e della Convenzione n. 108 del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (congiuntamente intese, le “Convenzioni”). Ne deriva che, pur a seguito della Brexit, il Regno Unito rimarrà comunque un membro della c.d. “famiglia della privacy” europea. L’adesione alle Convenzioni è di particolare importanza sia per la stabilità sia per la durata dell’adeguatezza prospettata.

Infine, sino a quando non verranno formalmente adottate le decisioni di adeguatezza menzionate, i flussi di dati personali tra lo Spazio Economico Europeo e il Regno Unito continueranno ad essere garantiti dal regime provvisorio concordato con l’Accordo di commercio e cooperazione UE-Regno Unito del 31 dicembre 2020 (l’”Accordo”) fino al 30 giugno 2021.

A tal proposito, il Regno Unito ha statuito che i dati personali possono liberamente essere trasferiti verso l’UE, in quanto l’Accordo garantisce un adeguato livello di protezione.

 

[1] La Sentenza Schrems II della Corte di Giustizia dell’UE ha invalidato la decisione di adeguatezza della Commissione europea relativa al Privacy Shield a causa del diritto interno degli Stati Uniti d’America che consentiva alle autorità pubbliche di accedere – per finalità di tutela della sicurezza nazionale – ai dati personali trasferiti dall’UE.