Il percorso di uscita del Regno Unito (di seguito, “Regno Unito” o “UK”) dall’Unione europea (di seguito, “UE”), c.d. Brexit, è iniziato con il referendum del 23 luglio 2016, attraverso il quale i cittadini inglesi esprimevano la volontà di lasciare l’UE, notificata nel 2017 dal governo inglese al Consiglio europeo. Contestualmente, si avviava quindi sia la procedura di recesso volontario e unilaterale di cui all’art. 50 del Trattato sull’Unione europea sia la negoziazione dell’accordo volto a disciplinare i termini e le condizioni dell’uscita del Regno Unito dall’UE. Nel 2019 veniva stipulato il c.d. “Withdrawal Agreement”, entrato in vigore nel febbraio 2020, il quale prevedeva un periodo di transizione durante il quale i diritti e gli obblighi stabiliti a livello europeo continuavano ad applicarsi al Regno Unito fino al 31 dicembre 2020. Quando ormai il periodo di transazione stava per giungere al termine e il no-deal Brexit sembrava poter essere l’unica opzione, il 24 dicembre 2020, la Commissione europea (“Commissione UE”) comunicava di aver raggiunto un accordo con il Regno Unito sui termini della loro futura cooperazione, il c.d. “Trade and Cooperation Agreement” (l’“Accordo”). Considerando che l’Accordo regola i molteplici settori contemplati dal diritto dell’UE, il presente contributo ha lo scopo di approfondire e analizzare unicamente gli aspetti rilevanti in materia di protezione dei dati personali. Giova premettere che, come conseguenza della Brexit, il Regno Unito ha perso tutti i diritti e i benefit che possedeva in qualità di Stato membro dell’UE, non risultando più soggetto all’applicazione degli accordi stipulati e in essere a livello europeo. La diretta conseguenza dell’uscita del Regno Unito dall’UE è quindi: Nonostante quanto sopra, l’Accordo ha lo scopo di fornire una solida base per preservare la cooperazione che, nell’arco degli anni, ha caratterizzato i rapporti tra UE e UK. Infatti, l’Accordo è costituito da: Si precisa che, su specifica richiesta del Regno Unito, alcune materie non sono state oggetto di negoziazione, quali ad esempio la cooperazione in materia di politica estera, sicurezza e difesa, nonché eventuali decisioni di adeguatezza in merito al regime di protezione dei dati personali assicurato dal Regno Unito stesso. Al fine di agevolare la comprensione del contenuto dell’Accordo, di seguito viene fornito un breve quadro riassuntivo[1]: Con riferimento alla protezione dei dati personali, si segnala che una delle implicazioni della Brexit è la non applicabilità del GDPR e la conseguente classificazione del Regno Unito quale “Paese terzo” nell’ambito dei trasferimenti dei dati personali. Tale classificazione implica che, qualsiasi trasferimento di dati personali dall’UE verso il Regno Unito dovrà essere disciplinato dalle specifiche norme di cui Capo V del GDPR, rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” (artt. 44 – 49, GDPR), applicandosi il disposto dell’art. 44 del GDPR, secondo cui “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento” (i.e. decisione di adeguatezza, garanzie adeguate, norme vincolanti d’impresa). Trattasi delle garanzie che i Paesi terzi o le organizzazioni internazionali devono possedere in caso di trasferimenti di dati personali per dimostrare di garantire il rispetto delle disposizioni del GDPR. Sul tema, l’Accordo prevede l’impegno, assunto da entrambe le parti, a garantire elevati livelli di protezione dei dati personali. Tali standard devono essere accertati da decisioni di adeguatezza adottate unilateralmente da ciascuna parte. Nel caso dell’UE, la Commissione UE dovrebbe adottare la decisione di adeguatezza di cui all’art. 45, GDPR, la quale rappresenta una garanzia volta ad assicurare che il Paese terzo cui la decisione si riferisce (nel caso di specie, UK), garantisce un livello di protezione dei dati personali adeguato agli standard europei. Si segnala che, ad oggi, sebbene la Commissione UE abbia lavorato intensamente alla predetta decisione, la stessa non è stata ancora adottata. In ogni caso, la Commissione UE si è dichiarata disponibile, non appena possibile, ad avviare il processo di adozione della decisione che, previo parere positivo dell’European Data Protection Board e degli Stati membri dell’UE, porterà alla qualificazione del Regno Unito quale Paese in grado di garantire un livello di protezione dei dati personali adeguato. In attesa della decisione, l’Accordo ha previsto delle disposizioni transitorie per la trasmissione di dati personali al Regno Unito, le quali garantiscono la piena continuità e stabilità dei flussi di dati tra UE e UK[2]. In particolare, ai sensi dell’art. FinProv 10A dell’Accordo[3] è previsto che i trasferimenti dei dati personali verso il Regno Unito potranno continuare a svolgersi liberamente finché non venga adottata una decisione di adeguatezza da parte della Commissione UE e comunque non oltre sei mesi dalla data di entrata in vigore dell’Accordo (1° gennaio 2021). Pertanto, nell’arco temporale sopra individuato, i trasferimenti dei dati dall’UE verso il Regno Unito non dovranno essere considerati trasferimenti verso un Paese terzo ai sensi del GDPR. I trasferimenti di cui sopra possono aver luogo a condizione che il Regno Unito non eserciti i suoi “nuovi” poteri riconosciuti nell’ambito dei trasferimenti internazionali, quali a titolo esemplificativo e non esaustivo, l’adozione di nuove (i) decisioni di adeguatezza, (ii) Standard Contractual Clauses, (iii) Binding Corporate Rules, nonché (iv) accordi amministrativi da parte dell’Autorità di controllo inglese, l’Information Commissioner’s Office (“ICO”)[4]. In caso contrario, il Regno Unito sarebbe considerato come Paese terzo. Invece, con riferimento ai trasferimenti dal Regno Unito all’UE, si noti che già in precedenza, sebbene solamente in via transitoria, lo stesso aveva già espresso il suo parere favorevole nel ritenere la protezione dei dati personali assicurata dagli Stati dell'UE adeguata alla propria normativa interna, consentendo così il trasferimento di dati dal Regno Unito. Pertanto, alla luce di questo ulteriore periodo di ultrattività del GDPR nei trasferimenti UE-UK e viceversa, le società potranno continuare a contare su un libero trasferimento dei dati personali, senza dover apportare alcuna modifica alle loro policies sulla protezione dei dati. In tale contesto, non può essere assolutamente tralasciata la sentenza della Corte di Giustizia dell’Unione europea (“CGUE”) pubblicata lo scorso 16 luglio 2020 (c.d. “Schrems II”) che ha statuito l’invalidità della decisione di adeguatezza adottata dalla Commissione EU ai sensi dell’art. 45 del GDPR relativa al Privacy Shield (i.e., Decisione 2016/1250 “sull’adeguatezza della protezione offerta dal regime dello scudo UE - USA per la privacy”) in ragione del diritto interno degli Stati Uniti che consente alle autorità pubbliche di accedere – per finalità di tutela della sicurezza nazionale – ai dati personali trasferiti dall’UE. Le ragioni della CGUE poste alla base di tale sentenza sono rinvenibili nella legislazione americana in quanto: L’incertezza della sorte dei trasferimenti dall’UE agli Stati Uniti rende necessariamente incerta anche l’eventuale adozione di una decisione di adeguatezza della Commissione UE nei confronti del Regno Unito. Ciò in ragione del fatto che quest’ultimo ha stipulato un accordo con gli Stati Uniti relativo all’accesso ai dati elettronici per combattere la criminalità[5] (“Accordo UK-US”). In particolare, si segnala che nel processo di valutazione dell’adeguatezza del livello di protezione assicurato dal Pese terzo, la Commissione UE prende in considerazione in particolare i seguenti elementi (art. 45, comma 2, GDPR): Alla luce di quanto sopra, è ragionevole ritenere che la Commissione UE, nell’ambito delle sue valutazioni propedeutiche all’adozione della decisione di adeguatezza, dovrà necessariamente tenere in considerazione l’Accordo UK-US ed in particolare dovrà valutare la possibilità per il Regno Unito di rispettare l’obbligo di garantire la continuità della protezione dei dati personali in caso di trasferimenti successivi dal Regno Unito stesso a un altro Paese terzo. In particolare, con una lettera destinata al Parlamento europeo del 15 giugno 2020, l’European Data Protection Board, a seguito di uno studio approfondito dell’Accordo UK-US, si è mostrato dubbioso circa l’applicabilità delle garanzie previste dall'Accordo UK-US per l'accesso ai dati personali nel Regno Unito in caso di obblighi di divulgazione applicabili ai fornitori di servizi di comunicazione elettronica o di servizi informatici imposti da leggi nazionali statunitensi. Sul punto, l’European Data Protection Board ha altresì osservato come, lato europeo, la Commissione UE abbia avviato i negoziati per la conclusione di un accordo UE-USA per facilitare l'accesso alle prove “elettroniche” nelle indagini penali, stabilendo la prevalenza di tale accordo sulle leggi interne statunitensi e prevedendo adeguate misure di protezione per la protezione dei dati al fine di essere pienamente compatibile con il diritto primario e secondario dell'UE. Ciò comprende, in particolare, la garanzia della continuità della protezione dei dati in caso di condivisione e trasferimenti successivi. In conclusione, è ragionevole ritenere che le medesime condizioni dovrebbero essere esistenti anche con riferimento alla decisione di adeguatezza della Commissione UE nei confronti del Regno Unito, pena l’impossibilità di procedere con l’adozione della decisione. Alla luce di quanto sopra esposto, sebbene l’Accordo sia stato pubblicato appena prima della scadenza del periodo di transizione prevista per il 31 dicembre 2020, lo stesso sembra non introdurre le importanti novità attese in materia di protezione dei dati personali. Infatti, nonostante sia stato accordato un ulteriore periodo di sei mesi per trasferire liberamente i dati personali, nel suo statement del 28 dicembre 2020, l’ICO ha comunque raccomandato alle imprese di collaborare con le organizzazioni dell'UE che trasferiscono loro dati personali, per mettere in atto meccanismi di trasferimento alternativi, al fine di salvaguardarsi da qualsiasi interruzione del libero flusso di dati personali dall'UE al Regno Unito[6]. Infine, con riferimento alla rivoluzione in materia di trasferimenti di dati personali introdotta dalla sentenza Schrems II, non è ancora chiaro quali saranno le effettive conseguenze, anche economiche, di tale fenomeno. Ciò che risulta pacifico è che la CGUE ha confermato l’importanza e la supremazia del modello di protezione dei dati personali realizzato dall’UE, fondato sull’individuo e sui diritti riconosciutigli. [1] “EU-UK Trade and Cooperation Agreement A new relationship, with big changes”, p. 3. Il documento è disponibile al presente link: https://ec.europa.eu/info/files/eu-uk-trade-and-cooperation-agreement-new-relationship-big-changes-brochure_en . [2] Art. FINPROV.10A dell’Accordo: Interim provision for transmission of personal data to the United Kingdom del Trade and Cooperation Agreement, p. 414 ss. Il testo dell’Accordo è disponibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2531. [3] Art. FINPROV.10A dell’Accordo: “For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law, provided that the data protection legislation of the United Kingdom on 31 December 2020, as it is saved and incorporated into United Kingdom law by the European Union (Withdrawal) Act 2018 and as modified by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 201987 (“the applicable data protection regime”), applies and provided that the United Kingdom does not exercise the designated powers without the agreement of the Union within the Partnership Council”. [4] Art. FINPROV.10A, comma 3 dell’Accordo: “In this Article, the “designated powers” means the powers: [5] “Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime” del 3 ottobre 2019, disponibile al seguente link: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/836969/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electronic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf . [6] Statement dell’ICO del 28 dicembre 2020, disponibile al seguente link: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/12/ico-statement-in-response-to-uk-governments-announcement-on-the-extended-period-for-personal-data-flows-that-will-allow-time-to-complete-the-adequacy-process/ .
