Il recente rapporto realizzato dal Servizio di Ricerca del Parlamento Europeo (EPRS) sullo stato dell’arte dei trasferimenti di dati tra UE e Regno Unito nel settore privato, successivamente al terremoto Brexit, prende in considerazione le diverse soluzioni normative previste per legittimare i trasferimenti, esplora i potenziali profili di inadeguatezza del Regno Unito e si concentra, infine, sui progetti di decisione di adeguatezza attualmente allo studio della Commissione Europea.
L’uscita del Regno Unito, difatti, è intervenuta in assenza di un solido accordo di follow-up dell’accordo di recesso e ha causato l’apertura di una fase transitoria, caratterizzata dall’assenza di regole commerciali a lungo termine e di una decisione di adeguatezza conforme al Regolamento generale sulla protezione dei dati (GDPR).
GDPR e Brexit: cosa cambia per il trasferimento dati con l’uscita del Regno Unito dalla UE
Indice degli argomenti
Brexit e trasferimenti dati personali: il meccanismo ponte
Un recente studio ha stimato i costi dell’“inadeguatezza”, vale a dire quelli che le imprese britanniche hanno dovuto sostenere per il ritorno a meccanismi di trasferimento alternativi ai sensi del GDPR, in una forbice tra 1,116 e 1,785 miliardi di euro.
Per lenire l’evidente gap, dopo lunghi negoziati, il Regno Unito e l’UE hanno concordato un accordo commerciale e di cooperazione (TCA), inclusa una soluzione provvisoria (“meccanismo ponte”) che garantisce la continuazione dei flussi di dati personali.
Sebbene la soluzione provvisoria sia stata oggetto di critiche da parte della Commissione per le Libertà Civili, la Giustizia e gli Affari Interni (LIBE) del Parlamento europeo, le Autorità di vigilanza, in primis il Garante europeo, si sono mostrate disposte ad accettarne il contenuto.
Il “meccanismo ponte”, tuttavia, ha una scadenza già fissata per il 30 giugno 2021 e il rischio di interruzione dei flussi o di ulteriore innalzamento dei costi potrebbe essere stato solo differito. Non v’è dubbio, in questo contesto, che la rapida approvazione di una decisione di adeguatezza, allo stato, rappresenti la migliore, se non l’unica strada percorribile.
Per questo motivo, il 19 febbraio 2021 la Commissione Europea ha avviato la procedura per l’adozione di due decisioni di adeguatezza per i trasferimenti di dati personali nel Regno Unito, rispettivamente ai sensi del GDPR e della Direttiva sull’applicazione della legge (LED).
In questo percorso, le redini delle procedure sono saldamente nelle mani della Commissione mentre agli Stati membri, almeno formalmente, è riservato un diritto di veto solo disponendo di una maggioranza qualificata (cfr. articolo 5(3), frase 1, regolamento (UE) n. 182/2011226).
Tutte le parti coinvolte, tuttavia, nutrono un evidente quanto impellente interesse comune: produrre un risultato sostenibile che possa resistere ad una eventuale (ma probabile) sfida davanti alla Corte di Giustizia dell’Unione Europea (CJEU).
Mentre si corre a tappe forzate verso un nuovo assetto stabile, il perno della disciplina è dunque affidato al “meccanismo ponte” cui prima si accennava, soluzione provvisoria delineata dal Trade and Cooperation Agreement (TCA) che anche il Garante europeo della protezione dei dati si è mostrato disposto ad accettare.
L’escamotage, non va dimenticato, ha avuto il sostanziale via libera delle Autorità di sorveglianza europee solo in considerazione della sua provvisorietà: tale approccio, infatti, è del tutto eccezionale, non deve essere ripetibile, né tantomeno diventare la regola, che al contrario dovrebbe essere definita quanto prima secondo le procedure standard.
Decisione di adeguatezza sulla protezione dati per il Regno Unito: i possibili scenari
I potenziali profili di inadeguatezza del Regno Unito
Ed è proprio su tale linea, come anticipato, che la Commissione europea ha avviato il procedimento di adozione di una decisione di adeguatezza che consentirebbe il trasferimento di dati personali verso il Regno Unito senza necessità di ulteriori autorizzazioni.
La Commissione ha dichiarato di ispirare le sue decisioni in merito all’adeguatezza del Regno Unito ad un’attività di analisi comparativa Regno Unito/UE avente ad oggetto statuti, orientamenti e impegni bilaterali informali.
Quanto sopra senza nascondere le proprie convinzioni, che assumono in questo contesto natura di essenziale premessa: le autorità britanniche, in linea di principio, secondo la Commissione hanno sempre agito in modo legittimo, le precedenti pratiche di sorveglianza sono state rese conformi al diritto britannico e non sono ipotizzabili in modo concreto violazioni future tali da precludere una decisione di adeguatezza.
Per non enfatizzare troppo una posizione palesemente sbilanciata a favore dell’adozione della decisione di adeguatezza, la Commissione ha ricordato che, qualora il progetto andasse in porto, si porrebbero a garanzia della sua correttezza applicazione i poteri e doveri di riesame delle decisioni a cadenza periodica di cui la Commissione medesima è munita, con possibili esiti di sospensione o persino di revoca nel caso in cui dovesse emergere una sopravvenuta inadeguatezza.
I progetti di decisione di adeguatezza della Commissione UE
Il progetto della Commissione si prefigge, in questo modo, di dissipare le critiche da più parti sollevate circa la palese inadeguatezza del livello britannico di protezione dei dati alla luce delle proprie leggi e pratiche di sorveglianza, dei rischi di successivi trasferimenti di dati verso ulteriori paesi terzi, nonché del tradizionale debole impegno nell’applicazione e nel rispetto delle norme europee in materia di protezione dei dati da parte dell’ICO.
Una ulteriore valutazione approfondita del quadro giuridico britannico rispetto agli standard dell’UE e alla posizione giurisprudenziale della CGUE sarà, in ogni caso, indispensabile.
Se a fronte di tale valutazione emergerà un rischio di non conformità basso e verrà riconosciuta efficacia ai rimedi legali riconosciuti ai cittadini, potrebbero considerarsi soddisfatte le garanzie di conformità indispensabili per garantire tenuta alla decisione di adeguatezza.
Al contrario, se a seguito di queste valutazioni dovessero persistere seri e fondati dubbi circa l’adeguatezza del Regno Unito, si potrebbe delineare un percorso diverso, in primis concordando e introducendo nella decisione di adeguatezza norme supplementari per colmare le differenze tra i due sistemi di data protection. Quanto sopra, riservando particolare attenzione al tema delle garanzie aggiuntive in materia di trasferimento dei dati.
È stato lo stesso giudice Thomas von Danwitz, membro della CGUE, a ricordare la centralità delle disposizioni in tema di trasferimento dei dati nella valutazione di un livello “alto” di protezione dei dati in un paese terzo.
Conclusioni
Il Regno Unito e l’UE, dunque, si trovano di fronte a trattative che vanno ben oltre la mera regolamentazione dei rapporti in punto di tutela dei dati personali.
Sono investiti di un compito molto più ampio e delicato volto a risolvere le tensioni che si sono inevitabilmente create tra gli interessi legittimi degli operatori economici e la promozione del commercio internazionale, da un lato, e il diritto alla protezione dei dati personali dall’altro.
Considerando il peso specifico delle questioni sul tavolo e il forte divario tra sostenitori e oppositori di una decisione di adeguatezza, trovare una soluzione non sarà facile.
In questo contesto, il parere del Comitato europeo per la protezione dei dati (EDPB) potrà offire un quadro del futuro che aspetta i rapporti tra Regno Unito e UE, quale sarà l’approccio definitivo della Commissione e quali raccomandazioni emergeranno sui prossimi delicatissimi passaggi.
