Alla data del 1 Gennaio 2021 il Regno Unito è diventato a tutti gli effetti – con riguardo all’ applicazione della normativa privacy sulla protezione dei dati personali – un Paese terzo; per questo ad esso vengono applicate quelle operazioni denominate appunto ‘trasferimento dei dati’, così come meglio disciplinato dal Capo V del Regolamento UE n. 2016/679.
Dal 1 Gennaio 2021 pertanto il titolare o il responsabile del trattamento che esegue operazioni di trasferimento dei dati nel Regno Unito, dovrebbe (o quantomeno avrebbe dovuto) effettuare una serie di valutazioni al fine di porre in essere operazioni conformi alle disposizioni contenute in materia privacy dal GDPR e di conseguenza non incorrere in una violazione delle stesse.
Prima però di concentrarci su questo particolare aspetto nonché sulla attuale situazione relativa alla sorte che sta subendo il Regolamento UE 2016/679 nel Regno Unito dovremmo brevemente soffermarci nel presente articolo sugli accordi in vigore tra Unione Europea e UK relativamente ai dati trasferiti fino al 31 dicembre 2020 e ai dati trasferimento in detto paese a partire dal 1 Gennaio 2021.
Dalla Brexit alla fine del periodo di transizione: il trasferimento dei dati nel Regno Unito prima del 31 Dicembre 2020
A seguito della Brexit anche le sorti e l’applicabilità del GDPR da parte di questo paese sono state messe in discussione. Già nel 2019 è stato infatti firmato dal Regno Unito l’Accordo sul recesso del Regno Unito di Gran Bretagna e Irlanda del Nord dall’Unione europea e dalla Comunità europea dell’energia atomica all’interno del quale, al paragrafo 1 dell’art. 71, veniva previsto che: “Il diritto dell’Unione in materia di protezione dei dati personali si applica nel Regno Unito al trattamento dei dati personali degli interessati al di fuori del Regno Unito, purché tali dati personali: a) siano stati trattati nel Regno Unito ai sensi del diritto dell’Unione prima della fine del periodo di transizione; o b) siano trattati nel Regno Unito dopo la fine del periodo di transizione in virtù del presente accordo”.
La Commissione europea interveniva a tal proposito specificando che dopo la fine del periodo di transizione i trasferimenti di dati personali verso il Regno Unito diversi da quelli disciplinati dall’articolo 71, paragrafo 1 dell’accordo di recesso non sarebbero stati trattati come condivisione di dati all’interno dell’Unione e avrebbero dovuto rispettare le norme applicabili ai trasferimenti di dati personali verso paesi terzi.
La norma succitata contenuta all’interno dell’accordo rappresentava quindi una sorta di ultrattività delle disposizioni del Regolamento UE 2016/679 relativamente ai dati personali trattati fino al termine del periodo di transizione.
L’art. 71 continuava poi, al paragrafo 2, stabilendo che “il paragrafo 1 non si applica al trattamento dei dati personali di cui al medesimo paragrafo, che sia oggetto di un livello di protezione adeguato quale stabilito con decisioni applicabili ai sensi dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 o dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680”.
Mentre al paragrafo 3 della medesima disposizione veniva stabilito che “qualora una decisione di cui al paragrafo 2 abbia cessato di essere applicabile, il Regno Unito garantisce un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal diritto dell’Unione in materia di protezione dei dati personali per quanto riguarda il trattamento dei dati personali degli interessati di cui al paragrafo 1.”
Oggetto di particolare attenzione sono quindi sempre stati “i dati personali degli interessati…” per i quali era stato previsto che al venir meno dei livelli di adeguatezza garantiti dall’Unione Europea, il Regno Unito sarebbe stato tenuto a garantire (per i dati trasferiti fino al 31 dicembre 2020) una protezione “sostanzialmente equivalente” a quella assicurata in Europa.
Il trasferimento dei dati nel Regno Unito dal 1 Gennaio 2021
Per i dati personali oggetto di trasferimento successivamente alla data del 31 dicembre 2020, i titolari e i responsabili nell’Unione Europea avrebbero dovuto adattare le proprie esigenze proponendo ai fornitori presso i quali si servivano e che avevano base nel Regno Unito la stipula di clausole di protezione dei dati adottate dalla Commissione UE, le cosiddette “clausole standard”.
Alla luce della famosissima sentenza c.d. ‘Schrems II’ del 16 luglio 2020 però non è possibile ritenere a priori sufficiente la sola stipula di dette clausole di protezione dei dati.
Pertanto, laddove il Titolare o responsabile del trattamento esporti dati personali nel Regno Unito, lo stesso sarebbe altresì tenuto a prendere in considerazione e disciplinare anche le ipotesi di eventuali accessi delle autorità pubbliche del Paese terzo ai dati personali trasferiti nonché gli altri elementi rilevanti all’interno del sistema giuridico di questo.
In ogni caso quindi sarebbe previsto un obbligo in capo al titolare del trattamento e/o del responsabile di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo con il quale si hanno rapporti.
In conclusione, gli adempimenti che dovrebbero essere osservati nel caso di rapporti con pesi terzi come il Regno Unito dovrebbero essere perlopiù analoghi a quelli necessari per un trasferimento di dati in qualunque altro Paese al di fuori dello Spazio Economico Europeo.
La situazione attuale: l’applicazione del Regolamento (UE) 2016/679 nel Regno Unito
E’ notizia di questi ultimi mesi che il governo del Regno Unito vorrebbe prendere le distanze dalla normativa privacy europea, ovvero dal GDPR, e che i ministri britannici stiano lavorando ad un nuovo progetto di riforma relativo al trattamento dei dati.
Gli emendamenti di detto nuovo progetto di riforma modificherebbero in particolare le regole per il trattamento dei dati personali in settori quali il consenso per il tracciamento online, i dati per la ricerca scientifica, l’uso e la condivisione dei dati del settore pubblico.
Lo scopo sarebbe quello di alleggerire alcune norme in materia privacy che attualmente secondo il governo britannico rappresenterebbero per alcune realtà presenti nel territorio del paese in questione un onere sproporzionato, favorendo così le piccole imprese e i consumatori.
Questo nuovo approccio di riforma aiuterebbe quindi a sbloccare la crescita economica del Paese aumentando i profitti delle imprese: in poche parole il Regno Unito sta lavorando ad una riforma che tracci le proprie regole sulla privacy, continuando a proteggere i consumatori – mantenendone i loro dati al sicuro – , ma andando incontro alle esigenze delle imprese.
Tuttavia ancora non è chiaro come agirà nel dettaglio tale normativa e quali saranno i contenuti della nuova legge ma si potrebbe ben pensare che l’impianto normativo europeo in materia privacy e quello del Regno Unito potrebbero non essere più compatibili tra loro, con conseguente danno alla libera circolazione dei dati personali tra Europa e UK.