gdpr

Brexit e protezione dei dati: tutti i dubbi che restano da chiarire

Il GDPR continuerà ad applicarsi nel Regno Unito durante il periodo di transizione e anche le disposizioni relative alle autorità di vigilanza continueranno ad applicarsi all’ICO che rimarrà all’interno dell’EDPB fino alla fine di quest’anno. Ma dopo cosa succederà? Proviamo a chiarire qualche equivoco

05 Feb 2020
Barbara Calderini

Legal Specialist - Data Protection Officier

Brexit, deal or no deal concept. United Kingdom and European Union flags on dice, black background. 3d illustration

Si aprono anche dubbi e potenziali controversie in tema di protezione dati personali con la Brexit, ormai confermata.

Ricordiamo che a tre anni e 7 mesi dal referendum sull’uscita dall’Ue e ricevuto il royal assent da Sua Maestà la Regina il 23 gennaio, il Regno Unito “è arrivato al traguardo” della Brexit, che si realizzerà il 31 gennaio 2020.

Dal primo febbraio 2020 comincerà quindi il periodo di transizione, che terminerà il 31 dicembre 2020 (a meno che una decisione di proroga non sia presa di comune accordo prima del primo luglio 2020) e offrirà al Regno Unito il tempo e l’opportunità di negoziare le future relazioni con l’Ue. Molte ed eterogenee le questioni: commercio, difesa, clima, diritti dei lavoratori, immigrazione, istruzione, scienza, pesca, agricoltura, aiuti di Stato, e protezione dei dati.

Proviamo a chiarire alcuni equivoci proprio su questo ultimo aspetto.

Protezione dei dati e Brexit: la posizione dell’Information Commissioner’s Office

Il GDPR continuerà ad applicarsi integralmente ai Titolari e ai Responsabili del trattamento nel Regno Unito senza alcun dubbio fino al 31 dicembre 2020.

La posizione dell’Information Commissioner’s Office (ICO) in questo frangente è stata esposta a diversi malintesi frutto probabilmente della complessità dell’accordo di recesso: la prima menzione sostanziale alla protezione dei dati si trova nell’articolo 71, che però riguarda specificatamente la protezione dei dati personali degli interessati che si trovano al di fuori del Regno Unito dopo lo scadere del termine previsto per la transizione.

Il 29 gennaio scorso, ICO sul suo sito Web ha reso nota una “Dichiarazione sulla protezione dei dati e l’implementazione della Brexit”  aggiornando la precedente versione che invece si concentrava solo sulla posizione in caso di Brexit senza accordo.

Dunque anche senza contare su esaurienti prese di posizione ufficiali possiamo dire, credo fondatamente, che poiché il GDPR continua ad applicarsi nel Regno Unito durante il periodo di transizione, anche le disposizioni relative alle autorità di vigilanza continueranno ad applicarsi all’ICO che, dunque, rimarrà “autorità competente” almeno fino alla fine di quest’anno.

Parteciperà ai meccanismi di cooperazione e coerenza, compreso lo sportello unico come è comunemente noto e continuerà ad essere l’autorità principale per il trattamento transfrontaliero da parte di imprese stabilite in più di uno Stato membro e che hanno il loro stabilimento principale nel Regno Unito.

Direi che mantiene anche un ruolo attivo nei meccanismi di trasferimento dei dati all’estero, sul fronte delle norme vincolanti d’impresa ex art 47 GDPR.

Schrems è ovviamente interessato a sapere quale sarà il ruolo dell’Authority all’interno dell’European Data Protection Board (EDPB).

Il governo britannico aveva nel corso del tempo e in diverse occasioni già ribadito la propria intenzione di addivenire ad un ampio accordo sul trattamento dei dati con l’Ue e il 07 giugno del 2018 aveva anche pubblicato una nota tecnica:

il Regno Unito desidera idealmente che l’ICO:

  • rimanga parte dell’European Data Protection Board, e
  • continui ad avere rappresentanza nell’ambito dello “sportello unico”.

Tale ultima ipotesi, che prevedeva la definizione di un vero e proprio Trattato sui dati personali, venne però rimandata la mittente da Michel Barnier il quale tenne a precisare che l’Ue non poteva condividere la sua autonomia decisionale con un paese terzo.

Oggi, ferme le possibili modifiche (e semmai in senso ulteriormente restrittivo) a cui potrebbe essere sottoposto il testo delle “EDPB Rules of Procedure”, art 8 (l’EDPB dovrebbe nuovamente riunirsi il 28-29 gennaio), il giorno della Brexit il Regno Unito cesserà di essere membro dell’Unione europea e, pertanto, nonostante le disposizioni in materia di transizione, cesserà di essere parte degli organismi dell’Ue, compreso l’EDPB.

Al momento, in base all’Accordo di recesso ed ex art 8 dell’ EDPB Rules of Procedure, l’ICO può essere invitato, in via eccezionale, a partecipare alle sedute del board, ma solo senza diritto di voto e solo per quelle questioni in cui:

  • siano coinvolti singoli atti da affrontare durante il periodo di transizione verso il Regno Unito o verso persone fisiche o giuridiche residenti o stabilite nel Regno Unito;
  • la presenza del Regno Unito sia necessaria e nell’interesse dell’Unione, in particolare per l’efficace attuazione del diritto dell’Unione durante il periodo di transizione.

Ciò ovviamente per consentire all’ICO di continuare a partecipare in un certo qual modo ai meccanismi di cooperazione e coerenza sui quei casi transfrontalieri in cui è anche autorità di controllo capofila.

Permane il dubbio, invece, se queste previsioni consentiranno alla stessa ICO di avere un seppur minimo spazio all’interno del meccanismo di composizione delle controversie di cui all’65 GDPR stante, in particolare, la natura vincolante della decisione che verrà adottata dal Comitato. Sul punto va ricordato anche che, fermi tutti rimedi giuridici previsti dal Regolamento, il Considerando 143 prevede che la decisione vincolante del Comitato possa essere direttamente impugnabile, dinanzi alla Corte di Giustizia dell’Unione Europea per richiederne l’annullamento, alle condizioni previste dall’art 263 (e semmai 267) del TFUE.

Ad ogni modo, una volta terminato il periodo di transizione, l’ICO cesserà di essere “autorità competente” ai sensi del GDPR con tutte le conseguenze del caso. Molte organizzazioni, certamente le più edotte, sono già impegnate nella decisione circa l’opportunità o meno di valutare la costituzione di uno “stabilimento principale” “alternativo” nei restanti 27 Stati membri dell’Ue.

L’art 71 dell’accordo di recesso

L’articolo riguarda il trattamento dei dati personali dei soggetti non residenti nel Regno Unito e prevede che i dati personali di tali soggetti, laddove trasferiti nel Regno Unito, conformemente alla normativa incidente in materia, durante la vigenza del periodo di transizione, continueranno ad essere soggetti alla normativa europea in materia di data protection.

Dopo invece saranno disciplinati secondo le regole del diritto britannico e, pertanto, al fine di evitare che i dati dei cittadini europei trasferiti nel Regno Unito possano subire un “livello di protezione non adeguato” le organizzazioni (e non solo) per mitigare i rischi di trattamento illegittimo, dovranno procedere a dei cambiamenti di rotta.

È probabile, tuttavia, che ciò costituirà un problema pratico non particolarmente ostile e risolvibile tramite la definizione di un ben preciso regime di trasferimento dei dati: la Commissione europea, sin dalla Direttiva 95/46/CE, ha avuto il potere di determinare e riconoscere formalmente che un paese terzo potesse prevedere un livello adeguato di protezione dei dati e che pertanto fosse possibile trasferirvi dati personali. Tale meccanismo è stato ribadito nell’attuale quadro regolatorio.

E il Regno Unito ha sempre chiarito che preferirebbe una decisione di adeguatezza: ci sarebbero diversi fattori a supporto del proposito; non ultimo il fatto per cui è già in atto un “grado di allineamento importante” con il GDPR.

Quanto alle norme vincolanti d’impresa (BCR) l’ICO ha già dichiarato che non annullerà le autorizzazioni BCR esistenti emesse ai sensi o addirittura prima del GDPR. Le organizzazioni che dispongono già di BCR, farebbero, dunque, bene a verificare se il relativo ambito di applicazione copra anche lo spazio fisico del Regno Unito dopo Brexit e, in caso contrario, intervenire opportunamente.

Ai sensi dell’articolo 49 del GDPR, i flussi di dati personali possono aver luogo se il trasferimento rientra in una delle deroghe e alle condizioni – ed è sufficiente anche una sola delle condizioni – in esso previste.

Una delle condizioni è che l’interessato al quale afferiscono i dati personali abbia esplicitamente acconsentito al trasferimento, dopo essere stato informato dei possibili rischi del trasferimento derivanti proprio dalla mancanza di una Decisione di adeguatezza ex art 45 GDPR e delle pertinenti garanzie.

Malgrado questa opzione appaia semplice, occorre tenere presente che il consenso può essere revocato in qualsiasi momento ed è appropriato solo in circostanze limitate.

Conclusioni

Nel Libro bianco del Governo britannico del 2 febbraio 2017 si legge: “Sebbene il Parlamento sia rimasto sovrano durante la nostra adesione all’Unione Europea, non è sempre stato così”.

Come a voler sancire, indistintamente a nome di tutti gli “inglesi”, che il Regno Unito occupa lo stesso spazio psicologico e “probabilmente” nostalgico una volta riempito dall’impero.

Irish Time riporta un articolo del gennaio 2018 a firma Nicholas Boyle, professore dell’Università di Cambridge, che al di là del preciso punto di vista, condivisibile o meno, vale veramente la pena leggere per continuare a riflettere sui tanti aspetti legati al particolare momento dell’uscita di un Paese membro dall’Ue e alla perdurante divisione della popolazione britannica.

È un fatto che in epoca imperiale fossero padroni dei mari, potessero viaggiare per il mondo senza mettere piede fuori dal territorio imperiale ed economicamente l’Impero inglese fosse, almeno, potenzialmente autosufficiente. E certo, la realtà, che oggi ha condotto al processo noto come Brexit, ha dei riflessi e delle radici di ordine psicologico e culturale e non solo politico ed economico. Forse bisognerebbe domandarsi se, al di là degli aspetti pratici, pur importanti, di gestione del divorzio dall’Ue, in Gran Bretagna si siano mai sentiti veramente parte di una Comunità di Stati.

C’è una sorprendente calma a pochi giorni prima del ritiro. Perché non si ha nulla da dire?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3