Brexit e protezione dei dati personali: cercare l’equilibrio anche senza un accordo

L’approvazione dell’accordo con l’Unione Europea in vista della Brexit, prevista per il 29 marzo 2019, è ancora oggetto di ferventi dibattiti nel Regno Unito[1]. Siccome l’ipotesi di un no-deal, cioè l’uscita dall’Unione Europea senza un accordo, si fa sempre più concreta, le autorità inglesi stanno approntando misure per far fronte a questa eventualità.

Tra i diversi campi in cui è necessario trovare un giusto equilibrio per regolare i rapporti tra Unione Europea e Regno Unito, uno in particolare ha richiesto specifiche attenzioni: la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi.

È interessante, quindi, analizzare l’impatto della Brexit in relazione alla normativa in materia di protezione dei dati personali, esaminando la vicenda dalla prospettiva del Regno Unito.

Il quadro normativo

L’atto fondamentale per comprendere ciò che succederà dopo il 29 marzo è l’EU (Withdrawal) Act 2018[2] (di seguito “EUWA”), promulgato il 26 giugno 2018, con il quale viene abrogato l’European Communities Act 1972[3], che regolamentava l’adozione del diritto dell’Unione Europea (nel 1972 ancora CEE, Comunità Economica Europea) definendone la supremazia nei confronti del diritto nazionale. L’EUWA consente di gestire il periodo successivo all’exit day in modo equilibrato, permettendo di continuare ad applicare nel Regno Unito le normative elaborate (sia gli atti nazionali di recepimento che gli atti dell’Unione che non necessitavano di adeguamento) durante il periodo di appartenenza all’Unione Europea[4]. Viene introdotta, quindi, una nuova categoria di normativa interna, denominata “EU retained law” (letteralmente la “normativa europea conservata”) grazie alla quale vengono convertiti in leggi nazionali gran parte degli atti dell’Unione Europea, così da assicurare la continuità dell’impianto normativo britannico dopo la Brexit[5].

Per questa ragione verranno mantenuti sia il Regolamento UE 2016/679[6] (di seguito “GDPR”), divenuto pienamente operativo il 25 maggio 2018, che il Data Protection Act 2018[7], promulgato il 23 maggio 2018 e definibile come l’applicazione degli standard del GDPR a livello nazionale. Verranno comunque apportate modifiche alle predette normative, sfruttando il potere conferito ai ministri britannici dall’EUWA[8], per fare in modo che la normativa nazionale sia specifica e autonoma. Da ricordare che le modifiche saranno per lo più circoscritte all’eliminazione dei riferimenti alle istituzioni europee e alle relative procedure, sostituendo, quindi, i termini fuori contesto[9].

Cosa succederà dopo il 29 marzo?

Il Regno Unito dichiarerà adeguato il livello di protezione dei dati personali dei paesi membri dell’Unione Europea, per fare in modo che il flusso di dati verso quest’ultima non subisca un’interruzione[10]. Ciò comporta che non verranno applicate limitazioni ai trasferimenti di dati verso l’Unione Europea.

D’altra parte, il Regno Unito verrà considerato, nel rispetto del GDPR, un paese terzo, determinando l’applicazione del disposto dell’art. 44, secondo cui “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento”[11]. Si fa qui riferimento al Capo V del GDPR che reca disposizioni relative alle garanzie che i paesi terzi o le organizzazioni internazionali devono presentare per essere considerati adeguati destinatari in caso di trasferimenti di dati personali.

Come ricorda il Garante per la protezione dei dati personali nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali[12]”, i trasferimenti verso paesi terzi sono di norma vietati, a meno che intervenga una decisione di adeguatezza proposta dalla Commissione Europea (che ha lo scopo di valutare il livello di protezione dei dati personali offerto in un determinato paese terzo), ai sensi dell’art. 45 del GDPR[13]. In mancanza di una decisione di adeguatezza, i trasferimenti devono essere sostenuti da garanzie adeguate fornite dal titolare o dal responsabile del trattamento (specificate nell’art. 46 del GDPR[14]), come per esempio le norme vincolanti d’impresa (relative a società facenti parte dello stesso gruppo d’impresa) approvate dall’autorità di controllo competente e alle quali è dedicato il disposto dell’art. 47 del GDPR[15], oppure le clausole contrattuali standard adottate dalla Commissione o dalle autorità di controllo.

È ragionevole ritenere che sia improbabile che il Regno Unito possa ottenere una decisione di adeguatezza da parte della Commissione Europea entro il 29 marzo[16]. Ciò significa che per assicurare i trasferimenti di dati dall’Unione verso il Regno Unito si dovrà fare affidamento sulle garanzie adeguate specificate nell’art. 46 del GDPR.

Per quanto riguarda i rapporti tra Regno Unito e paesi terzi non facenti parte dell’Unione Europea, le decisioni di adeguatezza adottate dalla Commissione Europea (come per esempio quella riferita al Privacy Shield[17], framework dedicato al trasferimento di dati tra Unione Europea e Stati Uniti) verranno considerate ancora valide, facilitando i trasferimenti verso i paesi d’oltremare. Inoltre, si specifica che le organizzazioni del Regno Unito potranno affidarsi alle clausole contrattuali standard già determinate dalla Commissione Europea, per garantire i trasferimenti di dati verso paesi terzi esterni all’Unione Europea[18]. Nessun dubbio interpretativo in merito alle norme vincolanti d’impresa definite dall’Information Commissioner’s Office (di seguito “ICO”, l’Autorità di protezione dei dati personali del Regno Unito di Gran Bretagna e Irlanda del Nord), le quali continueranno ad essere riconosciute come valide. L’ICO potrà altresì autorizzare nuove clausole contrattuali standard in seguito all’exit day[19].

Per concludere

È auspicabile il raggiungimento di un equilibrio in tema di protezione dei dati personali in seguito al 29 marzo 2019, a favore dei molteplici scambi di dati che intercorrono tra il Regno Unito e i paesi terzi, ma in specifico tra il Regno Unito e l’Unione Europea. La soluzione ideale, in caso di mancanza di un accordo, è la decisione di adeguatezza della Commissione Europea nei confronti del Regno Unito, che tuttavia non si potrà raggiungere in tempi brevi, vista la complessità delle variabili da considerare. In attesa di future evoluzioni della situazione, è necessario ricordare che fortunatamente, durante questo importante periodo di transizione, l’ICO sta supportando in modo determinante le organizzazioni britanniche, sostenendo, di fatto, i loro fondamentali, e particolarmente a rischio, rapporti con le organizzazioni europee[20].

[1] BBC News, Brexit: Date for vote on Theresa May’s deal confirmed, https://www.bb-c.com/news/uk-politics-46777987

[2] EU (Withdrawal) Act, qui disponibile: http://www.legislation.gov.uk/ukpga/2018/16/c-ontents/enacted

[3] European Communities Act 1972, qui disponibile: https://www.legislation.gov.uk/uk-pga/1972/68/contents

[4] Institute for Government, EU Withdrawal Act, https://www.instituteforgovernment.or-g.uk/explainers/eu-withdrawal-act

[5] Parliament.uk, The status of “retained EU law”, 

[6] Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, qui consultabile:

[7] Information Commissioner’s Office, Information rights and Brexit Frequently Asked Questions, 

[8] V. supra n. 4: il potere concesso ai ministri dall’EUWA a cui si fa riferimento è denominato “Henry VIII powers”, che consente al Governo di apportare modifiche alla legislazione, evitando che tutte le modifiche siano elaborate dal Parlamento, così da velocizzare il processo di integrazione normativa.

[9] GOV.UK – Department for Digital, Culture, Media & Sport, Amendments to UK data protection law in the event the UK leaves the EU without a deal on 29 March 2019,

[10] Ibid, §2.2.

[11] V. supra n. 6, art. 44.

[12] Garante per la protezione dei dati personali – Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, Trasferimenti di dati verso paesi terzi e organismi internazionali, https://www.garanteprivacy.it/regolamentoue/trasferimenti-di-dati-verso-paesi-terzi-e-organismi-internazionali

[13] V. supra n. 6, art. 45.

[14] Ibid, art. 46.

[15] Ibid, art. 47.

[16] ICO, Data protection and Brexit – ICO advice for organisations,

[17] Per approfondire: Garante per la protezione dei dati personali, Privacy Shield, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5306161

[18] V. supra n. 9, §2.4.

[19] Ibid, §2.5.

[20] L’ICO ha elaborato alcune linee guida destinate alle organizzazioni britanniche, predisponendo una pagina nel proprio sito web in cui è possibile consultare i vari documenti: https://ico.org.uk/for-organisations/data-protection-and-brexit/