Trasferimenti di dati in UK: qual è al momento il livello di protezione?

Il trasferimento dati verso il Regno Unito si trova ancora in una fase di evoluzione.

Dal primo gennaio 2021 i trasferimenti di dati personali verso il Regno Unito sono disciplinati da un regime provvisorio, determinato dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la c.d. “bridging clause” garantisce la piena continuità dei flussi di dati tra il SEE e il Regno Unito, ma in via temporanea. La soluzione adottata è, infatti, applicabile fino al 30 giugno 2021 e sottoposta alla condizione che UK non cambi il regime di protezione dei dati in vigore.

Il 19 febbraio 2021, poi, la Commissione Europea ha avviato la procedura per l’adozione di due decisioni di adeguatezza per i trasferimenti di dati personali nel Regno Unito, una ai sensi del GDPR.

Nel mese di aprile l’EDPB  ha emesso il Parere 14/2021 sull’adeguatezza del livello di protezione offerto alle persone nel Regno Unito. In particolare il quadro giuridico di protezione dei dati personali nel Regno Unito analizzato dall’EDPB è costituito principalmente dalle seguenti normative:

–          il Regolamento Generale sulla Protezione dei Dati del Regno Unito (“UK GDPR”), incorporato nel diritto del Regno Unito ai sensi dell’European Union (Withdrawal) Act 2018, modificato dal DPPEC Data Protection, Privacy and Electronic Communications Regulations 2019;

–          il Data Protection Act 2018 (di seguito “DPA 2018”), modificato dai regolamenti DPPEC 2019 e 2020; e

–          l’IPA 2016.

Nella sua Opinion, l’EDPB riconosce che il Regno Unito rispecchia, per la maggior parte, il GDPR nel suo quadro di protezione dei dati e,dopo attenta analisi della sua legge e della sua pratica, l’EDPB ha rilevato che molti aspetti sono essenzialmente equivalenti. Tuttavia, mentre le leggi possono evolvere, questo allineamento dovrebbe essere mantenuto nel tempo. Quindi, la scelta della Commissione di limitare temporalmente l’adeguatezza concessa e di monitorare gli sviluppi nell’ordinamento del Regno Unito” viene sostanzialmente approvata dall’EDPB.

Infatti, per la prima volta nelle decisioni di adeguatezza dell’UE, il progetto di decisione del Regno Unito limita la sua durata a un periodo di quattro anni dalla sua entrata in vigore e richiede una revisione espressa dell’adeguatezza del regime giuridico del Regno Unito prima della scadenza. Laddove, dopo tale periodo, che potrà essere prorogato per altri quattro anni, la Commissione non dovesse confermare espressamente l’adeguatezza, la decisione decadrebbe.

Nel mese di maggio, però, una risoluzione del Parlamento “frena” sull’adeguatezza delle della bozza decisione di adeguatezza per il trasferimento dei dati verso il Regno Unito.

In particolare, il Parlamento ritiene che le due bozze non siano attualmente coerenti con il diritto dell’UE.

In tal senso, laddove la Commissione decidesse di adottarle senza aver risolto le criticità espresse nella risoluzione, violerebbe i margini di legalità stabiliti dal regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) (“GDPR”) e dalla Direttiva (UE) 2016/680 (cd. Law Enforcement Directive).

Sulla scia dell’EDPB, la risoluzione evidenzia una serie di criticità legate al livello di adeguatezza garantito dall’impianto normativo britannico, evidenziando presunte carenze relative all’operato dell’Information Commissioner’s Office (“ICO”), al trasferimento successivo di dati verso Paesi extra-SEE ed ai programmi di sorveglianza di massa effettuabili dalle autorità di Intelligence nel Regno Unito.

Il Parlamento europeo, pertanto, invita la Commissione e le autorità competenti del Regno Unito a istituire un piano d’azione per  affrontare le criticità individuate dall’EDPB e invita le autorità nazionali di controllo a procedere alla sospensione delle attività di trasferimento di dati personali verso il Regno Unito qualora le decisioni di adeguatezza contestate venissero adottate.

Ma la Commissione europea non ha raccolto le preoccupazioni del Parlamento e ha adottato la decisione di adeguatezza ed  ha promosso gli standard britannici di data protection, ritenendoli “adeguati”. Con questa decisione sarà possibile attuare il trasferimento dei dati come fatto fino adesso.

Lo status di adeguatezza è stato attribuito per quattro anni, il Regno Unito dovrà impegnarsi a conservarlo mantenendo elevati i livelli di sicurezza, pena il dietrofront dell’UE.

La decisione della Commissione europea favorisce il trasferimento dei dati tra il continente e l’arcipelago, in caso contrario si sarebbe presentato uno scenario difficile per le realtà economiche, costrette a individuare nuove strategie per adeguarsi alla normativa europea sulla condivisione dei dati.

Facebook
Twitter
LinkedIn
WhatsApp

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?