In data 28 giugno 2021, la Commissione Europea ha adottato due decisioni di adeguatezza in materia di dati personali[1] per il Regno Unito, una[2] ai sensi del Regolamento 2016/679 (“GDPR”)[3], ed una[4] ai sensi della Direttiva 2016/680[5].
Con l’adozione delle decisioni di adeguatezza, la Commissione ha concluso che il Regno Unito offre un livello di protezione dei dati personali equivalente alle disposizioni della corrispondente legislazione europea, in quanto le norme britanniche in materia si basano ancora sul GDPR europeo. Le decisioni di adeguatezza permettono alle organizzazioni e alle imprese dell’Unione e dello Spazio Economico Europeo (SEE) di trasferire liberamente i dati personali verso il Regno Unito, senza che sia necessaria l’adozione di misure aggiuntive. Inoltre, le decisioni di adeguatezza consentono la concreta attuazione dell’Accordo sugli scambi commerciali e la cooperazione tra l’Unione e il Regno Unito[6], il quale prevede lo scambio di informazioni, ad esempio ai fini della cooperazione giudiziaria.
Fintantoché le decisioni di adeguatezza rimangono in vigore, i dati personali possono essere liberamente trasferiti anche qualora la legislazione del Regno Unito venga modificata nel tempo. Al momento, la normativa britannica è in larga misura coincidente con le corrispondenti norme europee, in quanto il recesso del Regno Unito dall’Unione è ancora recente. Tuttavia, il Governo britannico ha annunciato in molteplici occasioni l’intenzione di modificare il proprio regime di tutela dei dati personali, e recentemente è stato pubblicato un documento di consultazione su una potenziale ampia riforma al riguardo. Pertanto, resta da chiedersi fino a che punto il Governo britannico deciderà di divergere dal modello europeo nei prossimi anni, in particolare, tenendo conto dei rischi che una significativa divergenza potrebbe comportare per il mantenimento in vigore delle decisioni di adeguatezza.
Di seguito si vedranno gli aspetti salienti degli attuali progetti britannici, e gli obiettivi di monitoraggio dell’Unione sull’evoluzione del quadro normativo britannico.
Il Governo britannico ha recentemente svelato i propri piani in direzione di un approccio parzialmente diverso da quello seguito fino ad oggi dal legislatore europeo. Oliver Dowden, Segretario di Stato inglese per il digitale, la cultura, i media e lo sport, ha recentemente affermato[7] che il recesso dall’Unione rappresenta un’opportunità da cogliere per semplificare e migliorare la normativa sulla privacynazionale, oltre che per sviluppare nuove partnership a livello mondiale.
La svolta più significativa è arrivata il 10 settembre scorso, con il lancio di un’ampia consultazione[8] sul tema. L’obiettivo di fondo è quello di rimuovere le barriere non necessarie all’uso responsabile dei dati personali. Il contenuto del documento di consultazione riflette la tesi per la quale i dati, inclusi quelli personali, costituiscono una delle risorse più importanti nelle economie del terzo millennio, con la necessità di un quadro regolamentare che assicuri una elevata tutela sostanziale dei dati personali e, al contempo, promuova innovazione e crescita attraverso previsioni più flessibili ed eliminando le attività superflue di “box-ticking”[9].
Nonostante questi obiettivi programmatici, il documento di consultazione chiarisce che il futuro quadro legislativo continuerà nelle grandi linee a fondarsi sui medesimi princìpi della legislazione attuale, in particolare, con riferimento ai princìpi del trattamento dei dati personali, ai diritti dei cittadini, ed ai meccanismi di supervisione[10].
Le specifiche riforme prospettate nel documento sono molteplici e perseguono differenti obiettivi. Tra queste, alcune si segnalano per la loro potenziale divergenza dalle soluzioni unionali, anche con i corrispondenti possibili impatti sulle decisioni di adeguatezza.
In primo luogo, alcune delle potenziali riforme mirano a semplificare l’attuale regime, ed a fornire maggiore certezza sull’interpretazione e l’applicazione delle norme. A titolo esemplificativo, si cita la proposta di meglio delineare l’utilizzo dell’interesse legittimo come base giuridica per il trattamento dei dati personali, anche al fine di invertire l’attuale tendenza di un eccessivo ricorso alla base giuridica del consenso. Il governo britannico propone a tal fine di introdurre una lista tassativa di figure di interesse legittimo, in presenza di cui il trattamento dovrebbe presumersi legittimo senza applicare un test di bilanciamento. Tra le riforme prospettate, rilevano inoltre le proposte di introdurre soluzioni alternative all’impiego dei c.d. “cookies” nei siti internet, che permettano un alleggerimento dei costi e degli oneri amministrativi, assicurando al contempo un adeguato livello di tutela dei dati personali.
In secondo luogo, il governo britannico intende adottare nuove decisioni di adeguatezza per espandere il numero dei Paesi terzi verso cui è possibile trasferire liberamente i dati personali, nell’ambito di un generale obiettivo di facilitazione degli scambi di dati per promuovere il commercio internazionale con partner strategici e fornire alle aziende del Regno Unito un sistema semplice e sicuro per i trasferimenti internazionali di dati[11]. Il documento di consultazione non indica gli specifici Paesi terzi per i quali si prevede l’adeguatezza. Tuttavia, gli interessi strategici del Regno Unito al riguardo sono stati resi noti in una dichiarazione del Governo del 26 agosto 2021[12], ove si identificano come potenziali partner per il trasferimento internazionale di dati personali gli Stati Uniti, l’Australia, la Repubblica di Corea, Singapore, la Colombia ed il Centro finanziario internazionale di Dubai. Con riferimento a tale proposta, non si può non osservare come l’inclusione degli Stati Uniti nella lista dei potenziali partners a cui estendere le decisioni di adeguatezza possa presentare speculari rischi per il Regno Unito di compromettere la decisione di adeguatezza adottata dalla Commissione. A tal proposito, si rammenta che il 20 maggio 2021 il Parlamento Europeo ha adottato una risoluzione[13] per richiedere alla Commissione di modificare la decisione di adeguatezza relativa al Regno Unito, rilevando in particolare la necessità di conformarsi ai princìpi dettati dalla Corte di Giustizia nella Causa C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd e Maximillian Schrems[14] (c.d. “sentenza Schrems II”). Nella propria risoluzione, il Parlamento ha segnalato, tra le altre cose, il rischio che i dati personali dei cittadini europei vengano ulteriormente trasferiti verso gli Stati Uniti, qualora il Regno Unito adotti in futuro misure volte a consentire il libero trasferimento dei dati in tale direzione, nonostante la Corte abbia statuito che la normativa statunitense non garantisce un livello di protezione adeguato dei dati personali. Alla luce della forte presa di posizione manifestata dal Parlamento, che a sua volta riflette le preoccupazioni espresse dal Comitato Europeo per la protezione dei dati in una propria opinione[15], è ragionevole prevedere che i competenti organi europei sottoporranno ad attento scrutinio la futura politica britannica in tema di trasferimenti internazionali di dati personali.
In terzo luogo, il documento di consultazione presenta proposte per facilitare il trattamento dei dati personali da parte di enti pubblici e privati per finalità d’interesse pubblico, in particolare, per far fronte a situazioni di emergenza assimilabili all’emergenza epidemiologica da COVID-19[16]. Il documento prevede che il trattamento dei dati personali in situazioni di emergenza debba essere sottoposto a limiti di tempo ed altre garanzie. Tuttavia, alla luce dei rischi che ne potrebbero derivare per i diritti delle persone i cui dati personali sarebbero sottoposti a trattamento, una simile deroga, qualora effettivamente introdotta, sarebbe destinata ad attento esame da parte della Commissione e del Parlamento europeo.
Infine, in aggiunta al documento di consultazione, è da menzionare un’altra recente proposta di riforma avanzata dal Governo britannico in tema di videosorveglianza e riconoscimento facciale. Al riguardo, in data 12 agosto 2021 si è chiusa la consultazione[17] sulla riforma del Surveillance Camera Code of Practice[18]. Il nuovo testo regolerà l’impiego dei sistemi di videosorveglianza da parte della polizia o di altre autorità pubbliche. Tenendo conto dell’invasività e dei rischi di violazione dei diritti fondamentali dei soggetti sorvegliati posti da tali tecnologie, è ragionevole attendersi che tali sviluppi saranno, ancora una volta, oggetto di attento vaglio da parte del Parlamento Europeo e della Commissione.
La Commissione ha infatti chiarito da tempo di essere consapevole dei rischi di divergenza tra la legislazione britannica e quella europea. In particolare, la posizione della Commissione europea in materia è stata espressa con chiarezza da Věra Jourová,vicepresidente della Commissione responsabile per il coordinamento delle politiche sui valori e la trasparenza, e da Didier Reynders, commissario europeo alla giustizia, i quali hanno entrambi affermato[19] che l’evoluzione della legislazione del Regno Unito sarà monitorata con attenzione e che, qualora venissero riscontrati sviluppi tali da poter pregiudicare la salvaguardia degli standard di tutela dei dati personali imposti dalla legislazione europea, la Commissione sarà pronta ad intervenire.
È pure da osservare che, in aggiunta all’impegno politico espresso dai Commissari europei, i rischi posti dalle possibili divergenze future della legislazione britannica inglese sono affrontati anche a livello normativo da due clausole di salvaguardia, contenute nel GDPR e nella decisione di adeguatezza.
In primo luogo, ai sensi dell’articolo 45, comma 3, del GDPR la decisione di adeguatezza deve prevedere un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel Paese terzo per cui la decisione di adeguatezza è stata adottata. In ottemperanza a tale prescrizione, l’articolo 4 della decisione di adeguatezza prevede che la decisione cessi di trovare applicazione il 27 giugno 2025, esattamente quattro anni dopo la sua adozione, salvo che ne venga predisposto il rinnovo.
In secondo luogo, l’articolo 3, comma 4, della decisione di adeguatezza prevede che la Commissione possa sospendere, abrogare o modificare la decisione stessa, qualora nel tempo sopravvengano indicazioni che un livello di protezione dei dati personali adeguato non è più garantito nel Regno Unito, o in caso di mancanza di cooperazione da parte delle autorità britanniche nel fornire informazioni necessarie alla Commissione per monitorare il rispetto dei dati personali nel Regno Unito.
Nonostante sia prematuro prevedere l’evoluzione futura della normativa inglese in materia di tutela dei dati personali, due osservazioni conclusive sembrano possibili.
Da un lato, infatti, l’eventuale revoca della decisione di adeguatezza comprometterebbe il funzionamento dell’Accordo sugli scambi commerciali e la cooperazione tra l’UE e il Regno Unito, con un significativo impatto sui rapporti commerciali con i Paesi dell’Unione. Questo scenario potrebbe rappresentare un significativo incentivo per il Regno Unito ad assicurare che le proprie riforme non pregiudichino il livello di protezione dei dati personali vigente. Del resto, anche qualora il Regno Unito decidesse di modificare il proprio approccio politico, ciò non implicherebbe necessariamente un abbassamento del livello di tutela, che potrebbe venire assicurato anche da soluzioni operative diverse da quelle riflesse nel GDPR.
Dall’altro lato, i rischi più palpabili di compromettere la decisione di adeguatezza potrebbero provenire dalla creazione di una partnership in materia di dati personali con gli Stati Uniti d’America. Il futuro al riguardo dipende da fattori geopolitici che vanno al di là della specifica materia, ed in specie dall’estensione e dalla pervasività della “special relationship” anglo-americana ancora di recente più volte evocata dai due lati.
[1] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[2] Commission Implementing Decision of 28.06.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom. Disponibile in lingua inglese al seguente LINK.
[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GUUE L 119 del 04.05.2016.
[4] Commission Implementing Decision of 28.06.2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom. Disponibile in lingua inglese al seguente LINK.
[5]Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, GUUE L 119 del 04.05.2016.
[6] Accordo sugli scambi commerciali e la cooperazione tra l’Unione europea e la Comunità europea dell’energia atomica, da una parte, e il Regno Unito di Gran Bretagna e Irlanda del Nord, dall’altra, GUUE L. 444 del 31.12.2020.
[7] Il comunicato stampa del Governo sui piani futuri di Oliver Dowden può essere trovato al seguente LINK.
[8] L’annuncio e il documento di consultazione pubblica sono disponibili al seguente LINK.
[9] Tali obiettivi sono esplicitamente esposti nella sezione introduttiva del documento di consultazione del Governo. Si vedano, in particolare, il “ministerial foreword” ed il paragrafo “Our Approach” all’interno della sezione “Introduction”.
[10] Questo è quanto si afferma nel documento di consultazione, paragrafo 11 della sezione “Introduction”.
[11] Si veda il capitolo n. 3 del documento di consultazione, “boosting trade and reducing barriers to data flows”.
[12] Si veda, in particolare, il comunicato stampa del Governo inglese disponibile al seguente LINK. Per informazioni più dettagliate sulla politica del Regno Unito per il trasferimento internazionale di dati personali, si vedano i documenti pubblicati dal Governo inglese disponibili al seguente LINK.
[13] Risoluzione del Parlamento europeo del 21 maggio 2021 sull’adeguata protezione dei dati personali da parte del Regno Unito (2021/2594(RSP)). Il testo integrale della risoluzione è disponibile al seguente LINK.
[14] CGUE 16.07.2021, Causa C‑311/18, Data Protection Commissioner c. Facebook Ireland Ltd e Maximillian Schrems.
Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[15] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom Adopted on 13 April 2021. Il testo dell’opinione è disponibile in lingua inglese al seguente LINK.
[16] Si veda il paragrafo 4.3 di cui al capitolo 4 del documento di consultazione.
[17] Per ulteriori informazioni sulla consultazione, si vedano le informazioni disponibili al seguente LINK.
[18] Si veda il seguente LINK.
[19] Si vedano le dichiarazioni dei commissari europei riportate nel comunicato stampa che ha annunciato l’adozione della decisione di adeguatezza per il Regno Unito. Il comunicato stampa è disponibile (in lingua inglese, francese e tedesca, al seguente LINK.