Commissione europea

GDPR, la privacy del Regno Unito è “adeguata”: ecco le conseguenze per imprese e cittadini

La Commissione europea si è espressa sul livello di sicurezza della data protection del Regno Unito, definendolo adeguato: una decisione valida per quattro anni che ha impatti positivi sul trasferimento dei dati da e verso il Paese

02 Lug 2021
Monica Belfi

Legal Specialist, GDPR and Data Protection Specialist

La Commissione europea ha adottato il 28 giugno la decisione di adeguatezza per il Regno Unito ai sensi dell’art 45 del GDPR. La decisione è arrivata a due giorni dalla scadenza del cosiddetto “bridge” del 30 giugno e pone fine, per il momento, a un periodo di incertezza determinato dal fatto che, dal primo gennaio 2021, i trasferimenti di dati personali verso il Regno Unito erano disciplinati da un regime provvisorio, previsto dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la c.d. “bridging clause” garantiva la liceità dei flussi di dati tra UE e Regno Unito, ma in via temporanea.

La decisione di adeguatezza permette di garantire la continuità dei trasferimenti di dati personali dall’UE al Regno Unito, evitando uno scenario di no-deal che avrebbe potuto costare all’economia britannica fino a 1,6 miliardi di sterline[2], con forti impatti, di conseguenza, sull’innovazione, la produttività e la competitività economica dell’intera Europa.

Leggi la decisione di adeguatezza – PDF

Cosa dice la decisione della Commissione europea

La Commissione determina, dunque, che nel Regno Unito i dati personali beneficiano di un livello di protezione essenzialmente equivalente a quello garantito dal diritto dell’Unione, con la conseguenza che le imprese e le organizzazioni dell’UE e del SEE potranno trasferire i dati personali in UK senza dover mettere in atto misure aggiuntive con le controparti britanniche, semplificando, così, enormemente gli oneri delle imprese, che, altrimenti, dovrebbero fare affidamento su diversi meccanismi di trasferimento dei dati, come le clausole contrattuali tipo, cui dovrebbero aggiungere, laddove necessario, ulteriori misure tecniche supplementari a integrazione degli strumenti di trasferimento.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Tre anni di GDPR: cosa abbiamo imparato e cosa ci aspetta per il prossimo futuro

La decisione di adeguatezza, tuttavia, inserisce una “sunset clause”, che limita, per la prima volta, la durata della decisione a quattro anni e prevede meccanismi di controllo costante del quadro giuridico su cui si basa la decisione, raccomandando una stretta cooperazione e un continuo scambio informativo tra la Commissione e gli Stati Membri. Qualora la Commissione dovesse verificare che il livello di protezione non è più garantito, potrà sospendere, abrogare o modificare la decisione, contro la quale già diversi attivisti preparano cause legali, ispirati dalla sentenza CJEU Schrems II. La decisione risulta, quindi, fondamentale per uscire da un clima di incertezza e dare maggiore stabilità alle imprese che devono trasferire i dati personali in UK, ma la situazione non sembra del tutto tranquilla e richiede una giusta prudenza da parte delle imprese, che dovranno monitorare eventuali evoluzioni.

I pareri

Il Regno Unito ha già riconosciuto gli stati membri dell’UE e dello SEE come “adeguati”, pertanto l’adozione formale della decisione della Commissione permette un libero flusso di dati personali, fondamentale per il commercio, l’innovazione e gli investimenti in Europa. Věra Jourová, vicepresidente per i valori e la trasparenza, ha dichiarato, come riportato dal The Guardian: “Il Regno Unito ha lasciato l’UE, ma oggi il suo regime giuridico di protezione dei dati personali è lo stesso. Per questo motivo, oggi adottiamo queste decisioni di adeguatezza. Allo stesso tempo, abbiamo ascoltato molto attentamente le preoccupazioni espresse dal Parlamento, dagli Stati Membri e dal Comitato europeo per la protezione dei dati, in particolare sulla possibilità di future divergenze dai nostri standard nel quadro della privacy del Regno Unito. Stiamo parlando di un diritto fondamentale dei cittadini europei, che noi abbiamo il dovere di proteggere. Questo è il motivo per cui abbiamo salvaguardie importanti e se qualcosa dovesse cambiare da parte del Regno Unito, interverremo”.

Dopo il parere dell’EDPB (Opinion 14/2021) del 13 aprile scorso[3] e la recente risoluzione dei MEPs lo scorso 20 maggio, che avevano sollevato diverse perplessità, la decisione non era scontata; tuttavia il commissario per la giustizia Didier Reynders ha rassicurato, affermando, sempre come riportato dal The Guardian: “Dopo mesi di attente valutazioni, oggi possiamo dare ai cittadini dell’UE la certezza che i loro dati personali saranno protetti quando saranno trasferiti nel Regno Unito. Questa è una componente essenziale della nostra nuova relazione con il Regno Unito. È importante per un commercio senza problemi e per una lotta efficace contro il crimine. La Commissione seguirà da vicino l’evoluzione del sistema britannico in futuro e interverrà, se necessario. L’UE ha i più alti standard di protezione dei dati personali e questi non devono essere compromessi quando i dati personali sono trasferiti all’estero”.

Il governo britannico ha accolto con favore la decisione, che, dopo mesi di incertezza, riconosce, infine, gli elevati standard di protezione dei dati del Paese. Il Segretario di Stato per il digitale Oliver Dowden ha detto: “Dopo più di un anno di colloqui costruttivi, è giusto che l’Unione europea abbia formalmente riconosciuto gli elevati standard di protezione dei dati del Regno Unito. Questa sarà una notizia gradita alle imprese, sosterrà la continua cooperazione tra il Regno Unito e l’UE e aiuterà le autorità di polizia a mantenere le persone al sicuro. Ora ci concentreremo su come utilizzare il potere dei dati per guidare l’innovazione e rilanciare l’economia, assicurandoci allo stesso tempo di proteggere la sicurezza e la privacy delle persone”.

Il framework normativo

La Commissione, quindi, dopo più di un anno di studio del quadro normativo del Regno Unito, ottenuto il parere dell’EDPB e considerate le indicazioni dei MEPs ha determinato che la normativa locale, principalmente il c.d. “UK GDPR” e il DPA 2018, garantisce un livello di protezione dei dati personali trasferiti dall’Unione europea essenzialmente equivalente a quello garantito dal Regolamento (UE) 2016/679. La Commissione ritiene che, nel complesso, i meccanismi di sorveglianza e le vie di ricorso previsti dal diritto del Regno Unito consentano di individuare e sanzionare concretamente le violazioni e offrano agli interessati gli opportuni rimedi giuridici per ottenere l’accesso ai dati personali che li riguardano e, eventualmente, la rettifica o la cancellazione di tali dati. Inoltre, ritiene che qualsiasi interferenza con i diritti fondamentali delle persone i cui dati personali sono trasferiti dall’Unione europea al Regno Unito da parte delle autorità pubbliche britanniche per scopi di interesse pubblico, in particolare ai fini dell’applicazione della legge e della sicurezza nazionale, sarà limitata a ciò che è strettamente necessario per raggiungere l’obiettivo legittimo in questione, e che esiste una protezione giuridica efficace contro tale interferenza.

I punti principali della decisione della Commissione europea

Elementi principali della decisione di adeguatezza:

  1. Il sistema di protezione dei dati del Regno Unito continua ad essere basato sulle stesse regole che erano applicabili quando il Regno Unito era uno Stato membro dell’UE, avendo pienamente incorporato i principi, i diritti e gli obblighi del GDPR e della direttiva sull’applicazione della legge nel suo sistema giuridico post-Brexit. Esiste, altresì, un solido quadro costituzionale: lo Human Rights Act 1998 recepisce all’interno della legge nazionale i diritti contenuti nella European Convention on Human Rights, compreso l’articolo 8, che limita l’ingerenza di una autorità pubblica nell’esercizio del diritto alla privacy. Il quadro giuridico di protezione dei dati personali nel Regno Unito analizzato dall’EDPB è costituito, dopo la fine del periodo di transizione, principalmente dalle seguenti normative: il Regolamento Generale sulla Protezione dei Dati del Regno Unito (“UK GDPR”), incorporato nel diritto del Regno Unito ai sensi dell’European Union (Withdrawal) Act 2018, modificato dal DPPEC Data Protection, Privacy and Electronic Communications Regulations 2019; il Data Protection Act 2018 (di seguito “DPA 2018”), modificato dai regolamenti DPPEC 2019 e 2020; l’IPA, Investigatory Powers Act 2016.
  2. L’ambito materiale e territoriale è compatibile: i termini e i concetti chiave della normativa del Regno Unito sono identici o simili a quelli del GDPR, compresi i principi di liceità, correttezza e trasparenza, le basi giuridiche per un trattamento legittimo, le condizioni per il consenso, la previsione e protezione di categorie particolari di dati, la nomina di un responsabile della protezione dei dati e la necessità di valutazioni d’impatto sulla protezione dei dati, la limitazione delle finalità, l’esattezza, la minimizzazione dei dati, la limitazione della conservazione e la sicurezza dei dati, nonché gli obblighi di trasparenza, i diritti degli interessati e la responsabilità. Inoltre, il regime sui trasferimenti internazionali di dati personali dal Regno Unito rispecchia quello stabilito nel capo V del GDPR. La Commissione ritiene, altresì, che l’autorità nazionale di controllo, ICO, incaricata di controllare e far rispettare le norme sulla protezione dei dati, agisca con totale indipendenza e imparzialità nello svolgimento dei suoi compiti e nell’esercizio dei suoi poteri.
  3. Le restrizioni ai diritti individuali previsti in determinati contesti (immigrazione, salvaguardia della sicurezza nazionale o degli scopi di difesa) sono state ritenute necessarie e proporzionate. Per quanto riguarda l’accesso ai dati personali da parte delle autorità pubbliche nel Regno Unito, in particolare per motivi di sicurezza nazionale, sul quale sia l’EDPB che i MEPs avevano sollevato forti perplessità e richiesto cautela, la Commissione ha verificato che il sistema britannico prevede forti garanzie. In particolare, la raccolta di dati da parte delle autorità di intelligence è soggetta ad autorizzazione preventiva da parte di un organo giudiziario indipendente. Pertanto, qualsiasi misura deve essere necessaria e proporzionata alla finalità perseguita. Chiunque ritenga di essere stato oggetto di una sorveglianza illecita può presentare un ricorso all’Investigatory Powers Tribunal. Il Regno Unito è anche soggetto alla giurisdizione della Corte Europea dei Diritti dell’Uomo e deve aderire alla Convenzione Europea dei Diritti dell’Uomo, così come alla Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, che è l’unico trattato internazionale al momento vincolante nel campo della protezione dei dati. Questi impegni internazionali sono elementi del quadro giuridico fondamentali nella valutazione della decisione di adeguatezza.
  4. I trasferimenti ai fini del controllo dell’immigrazione nel Regno Unito sono esclusi dal campo di applicazione della decisione di adeguatezza adottata ai sensi del GDPR, in seguito a una recente sentenza della Corte d’appello del Regno Unito sulla validità e l’interpretazione di alcune restrizioni dei diritti di protezione dei dati in questo settore. La Commissione valuterà nuovamente la necessità di questa esclusione una volta che la situazione sarà stata risolta.

Le conseguenze

Per la prima volta, la durata della decisione di adeguatezza è limitata temporalmente, a 4 anni. Il testo prevede, infatti, una “sunset clause”, secondo la quale la decisione scadrà automaticamente quattro anni dopo la sua entrata in vigore, il 27 giugno 2025. Dopo tale periodo, la decisione di adeguatezza dovrà essere rinnovata, laddove permangano i presupposti. Il Commissario per la Giustizia Didier Reynders ha ribadito che l’attuale legislazione UK è molto simile a quella dell’Unione, ma che possibili futuri cambiamenti sono possibili e, pertanto, la sunset clause che prevede la durata di quattro anni è assolutamente necessaria.

L’articolo 45 GDPR prevede già un controllo continuo e un meccanismo di riesame periodico, ma la Commissione giustifica l’inserimento di una specifica durata nella decisione relativa al Regno Unito con la necessità di assicurare un costante monitoraggio anche in futuro, come richiesto fortemente dai MEPs, considerato che ora che non è più vincolato dalle norme dell’Unione Europea, il Regno Unito può modificare la legislazione nazionale in totale autonomia e senza vincoli, ad eccezione di quelli dettati dal diritto internazionale; per questo motivo, l’adesione alla Convenzione europea per la salvaguardia dei diritti dell’uomo e alla Convenzione 108, da parte del Regno Unito ha avuto un peso rilevante nella decisione.

Durante i quattro anni, la Commissione continuerà a monitorare la situazione giuridica nel Regno Unito e potrebbe intervenire in qualsiasi momento, laddove vi fossero modifiche che portassero a un discostamento dal livello di protezione attualmente esistente. I temi su cui occorrerà una verifica costante saranno sicuramente le pratiche di accesso ai dati massivo, i trasferimenti successivi e gli accordi internazionali che verranno stipulati dal Regno Unito.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3