Bozza di decisione di adeguatezza per il trasferimento dei dati verso l’UK nel post-Brexit
Il 1° gennaio 2021 ha ufficializzato l’uscita dall’Unione Europea del Regno Unito, creando seri problemi per quanto concerne il trasferimento di dati personali, indispensabili per numerose attività commerciali.
L’art. 45 del Regolamento UE 679/2016 (anche GDPR) prevede che il trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE) sia consentito a determinate condizioni, ovvero se la Commissione europea esprime una decisione di adeguatezza ad un paese terzo, in particolare, se il paese terzo sia in grado di garantire un livello di protezione dati paragonabile a quello previsto nell’UE. Nel caso in cui non sia presente questa decisione di adeguatezza, il Titolare del trattamento e/o il Responsabile del trattamento dovranno garantire adeguate garanzie di sicurezza, come previsto dall’art. 46 GDPR, adottando clausole contrattuali standard (Standard Contractual Clause – SCC, adesso in fase di revisione da parte della stessa Commissione europea) oppure adottando norme vincolanti d’impresa (Binding Corporate Rules- BCR). Segnaliamo che esiste un residuale regime dove sono richieste specifiche situazioni indicate dall’art. 49 GDPR. In assenza di decisione di adeguatezza o SCC/BCR il trattamento si deve considerare illegittimo.
Attualmente vige un temporaneo periodo transitorio, che permette il flusso di dati personali verso il Regno Unito, ma esso terminerà il 30 giugno 2021, data entro la quale dovrà essere adottata una delle soluzioni indicate precedentemente.
La Commissione sta lavorando su una Bozza di decisione adeguatezza, infatti, dopo mesi di studi ed analisi è giunta alla conclusione che il Regno Unito assicuri un adeguato livello di sicurezza equiparabile a quello dell’UE. I fattori che hanno fatto maturare questa decisone sono stati:
- la presenza di un quadro costituzionale solido del Regno Unito;
- il fatto che il Regno Unito sia soggetto all’autorità della Corte Europea dei Diritto dell’Uomo;
- il fatto che il Regno Unito presenti una norma nazionale sulla protezione dei dati (Data Protection Act – DPA);
- il fatto che sono previste restrizioni ai diritti individuali esclusivamente in determinate situazioni;
- la presenza di tutele e garanzie idonee a soddisfare i requisiti richiesti dal GDPR.
- la presenza di una Autorità indipendente e autonoma preposta a controllare le norme sulla protezione dei dati (Information Comissioner’s Office – ICO)
- la presenza di un sistema di accesso ai dati da parte delle autorità pubbliche in determinati casi;
La Bozza avrà una validità di quattro anni, trascorsi i quali, essa dovrà essere riconfermata dalla Commissione, pena la sua decadenza. Si tratta di una novità rispetto alle precedenti decisioni, le quali prevedono un controllo continuo di adeguatezza e non un vero e proprio “termine”.
La speranza è che la materia della tutela dei dati personali non diventi terreno di scontro politico tra Regno Unito e UE a discapito degli interessi di cittadini e imprese europee che, nonostante la Brexit, continuano ad avere rapporti economici, finanziari e personali.