giovedì, Marzo 28, 2024
Uncategorized

Dati personali e Brexit: tra proroghe e novità all’orizzonte

Dati personali e Brexit: tra proroghe e novità all’orizzonte

 

  1. Il Trade and cooperation agreement e la proroga del periodo transitorio

Il 24 Dicembre l’Unione Europea ed il Regno Unito, con 1250 pagine di accordo hanno abbandonato la prospettiva di una hard Brexit, siglando il trade and cooperation agreement (TCA)[1]. L’accordo in questione, che garantisce un recesso ordinato del Regno Unito dall’Unione, tocca diversi argomenti, tra i quali i diritti dei cittadini, la liquidazione finanziaria, il periodo di transizione, i protocolli su Irlanda/Irlanda del Nord, Cipro e Gibilterra, la governance e altre questioni conseguenti al processo di separazione. Al contrario, politica estera, sicurezza esterna e cooperazione in materia di difesa non sono contemplate dal patto a causa della mancata volontà del Regno Unito nel negoziare tali questioni.

L’accordo contiene una regolamentazione dei rapporti tra gli stessi anche in materia di dati personali, risultando in un assetto ancora incompleto che rinvia per un semestre la decisione definitiva rispetto al tema della libera circolazione dei dati, nonostante la scadenza del periodo di transizione fissata in origine al 31 Dicembre 2020.

Il nuovo “specific period[2] è iniziato a decorrere dal 1 Gennaio 2021 e si protrarrà fino a che non sopravvenga una adequacy decision da parte dell’UE o in caso di mancata decisione della Commissione in tal senso, per un periodo di 4 mesi prorogabili a 6, qualora nessuna delle due parti si opponesse a tale estensione. Il periodo “ponte” troverebbe fine anche qualora il Regno Unito decidesse di modificare unilateralmente la propria legislazione in materia di protezione dei dati personali. L’Unione Europea in tal caso non avrebbe modo per bloccare l’iniziativa di modifica unilaterale da parte del Regno Unito, potendo unicamente limitarsi a prenderne atto, ponendo fine all’accordo di libero trasferimento[3]. La legislazione applicabile nel Regno Unito in seguito all’uscita di scena del GDPR[4] sarà rappresentata dal Data Protection Act del 2018, legge nazionale risalente al 1998, poi rivista in concomitanza dell’emanazione del Regolamento UE proprio per normare quanto allora di competenza del governo nazionale, la quale verrà affiancata dal GDPR UK[5], emanato dal governo inglese e finalizzato all’adeguamento del settore data protection allo scenario post Brexit.[6]

  1. La libertà di trasferimento dei dati tra UE e UK

In pendenza di tale termine, in tema di protezione dei dati personali si manterrà lo status quo attuale in quanto il Regno Unito non verrà ancora considerato quale Stato terzo e non saranno quindi necessari ulteriori meccanismi utili al trasferimento dei dati dall’Unione Europea verso tale Paese. Così stabilisce l’articolo Articolo 10A delle final provisions dell’accordo[7], rinviando quindi l’applicazione degli articoli 44 e seguenti del GDPR a data da destinarsi. Tale decisione si basa sul ragionevole presupposto che l’appartenenza del Regno Unito all’Unione Europea fino a questo momento possa garantire il mantenimento degli alti standard di protezione in materia di dati imposti dall’Unione Europea tramite il Regolamento 679/2016. Tale soluzione temporanea ricalca l’assetto delineato nell’accordo di recesso del 19 ottobre 2019[8] in virtù del quale sarebbe stato garantito il libero scambio di dati personali tra l’Unione ed il Regno Unito fino al 31 Dicembre 2020.

Lo scopo dell’estensione del periodo transitorio è ovviamente quello di favorire una soluzione della questione tramite l’emanazione di una decisione di adeguatezza, nonché di garantire alle società inglesi di fornirsi di strumenti alternativi qualora tale soluzione non risultasse possibile.

  1. Quali le soluzioni prospettabili alla fine del periodo transitorio prorogato?

 Come anticipato, al termine del periodo di libero scambio dei dati personali il Regno Unito diventerà a tutti gli effetti un paese terzo e si renderà necessaria l’adozione degli strumenti di salvaguardia introdotti dal GDPR, al fine di non disperdere i diritti e le garanzie attuate all’interno dell’Unione in seguito ad un trasferimento al di fuori dei confini comunitari. La finalità di tali meccanismi è ben riassunta dal considerando 101[9] ed è basata sulla consapevolezza che non si possa impedire o ostacolare il progresso tecnologico limitando il trasferimento delle informazioni, in particolare in un settore come quello di Internet in cui l’astrattezza e l’aterritorialità del dato è caratteristica fondante[10].

Tra le modalità che rendono possibile il trasferimento verso Paesi Terzi ed organizzazioni Internazionali è possibile annoverare le Adequacy decisions, le Standard contractual clauses, le Binding Corporate Rules, i meccanismi di certificazione ed i codici di condotta. La migliore tra soluzioni si sostanzierebbe nell’adozione di una decisione di adeguatezza che, tramite un giudizio della Commissione sull’assetto giuridico inglese potrebbe garantire la continuazione del libero trasferimento dei dati. Tale strumento reso celebre dalla lunga e celebre vicenda Schrems[11], a cui la Corte di Giustizia Europea ha aggiunto un tassello nel Luglio 2020, giudicando inadeguato il sistema di tutela dei dati degli Stati Uniti e rendendo necessario il trasferimento tramite altri strumenti[12], consiste nell’esito positivo rispetto all’analisi svolta dalla Commissione sul sistema giuridico straniero, reputato in grado di tutelare adeguatamente i dati trasferiti secondo gli alti standard Europei.

Al termine del periodo concordato nel TCA, qualora tale tipo di decisione non venisse accordata, ai trasferimenti verso il Regno Unito si applicherebbero gli ulteriori strumenti predisposti dal GDPR in caso di trasferimento di dati verso paesi terzi.

Tra i più conosciuti troviamo le Standard contractual clauses, anche conosciute come SCCs, rinnovate dalla Commissione Europea proprio nell’anno appena terminato dopo un lungo periodo di mancato rinnovamento, le quali consistono in una forma contrattuale standard utile a garantire la tutela dei dati anche in seguito al trasferimento al di fuori dell’UE. Le SCCs rappresentano i mezzi più appropriati per le piccole e medie imprese e saranno prossimamente elaborate in modo specifico per regolamentare i rapporti tra UE e Regno Unito[13].

A queste si affiancano le Binding Corporate Rules, descritte dall’articolo 47 GDPR come uno strumento volto a consentire il trasferimento di dati personali dal territorio di uno Stato Europeo verso Paesi terzi tra società facenti parti dello stesso gruppo d’impresa. Le BCRs si concretizzano in una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo, allo scopo di semplificare gli oneri amministrativi a carico delle società multinazionali con riferimento ai flussi intra-gruppo di dati personali. Per l’approvazione delle stesse è necessario il lascia passare della Lead-Supervisory Authority che in virtù dell’articolo 56 è individuata nell’autorità di controllo dello stabilimento principale e qualora tale approvazione sia stata rilasciata in precedenza da un Garante diverso da quello Inglese, sarà necessario, in seguito alla Brexit, provvedere ad una nuova approvazione da parte dell’ICO per le società che si troveranno ad operare sotto la vigenza del nuovo UK GDPR[14]. Tra i punti fermi delineati in occasione della Sentenza Schrems già menzionata, anche la necessità di una valutazione d’impatto ex art. 35 GDPR nel caso di utilizzo dei due meccanismi di trasferimento appena citati[15].

Rimangono in ogni caso in vigore le deroghe in virtù delle quali non si rende necessario uno strumento di trasferimento volto a consentire la circolazione dei dati in seguito alla Brexit. Sebbene sia importante ricordare come tali deroghe debbano essere interpretate restrittivamente, tra queste troviamo i casi in cui[16]:

  1. l’interessato abbiaesplicitamente acconsentito al trasferimento proposto;
  2. il trasferimento sia occasionale e necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
  3. il trasferimento sia occasionale e necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  4. il trasferimento sia necessario per importanti motivi di interesse pubblico;
  5. il trasferimento sia occasionale e necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
  6. il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
  1. Chi dovrà nominare un Rappresentante[17] del titolare?

Tra gli adempimenti necessari derivanti dalla mancata appartenenza all’Unione rientrerà altresì la nomina di un rappresentante del titolare all’interno della stessa. Tale figura costituisce il punto di contatto per i data subjects e l’autorità di controllo principale ed è una figura contemplata dal GDPR qualora il titolare del trattamento non sia stabilito nell’Unione Europea mentre all’interno della stessa si trovino i titolari dei dati oggetto di trattamento. In seguito all’uscita dall’UE da parte del Regno Unito, sarà necessaria per le società Inglesi operanti in Europa la nomina di tale soggetto qualora le stesse offrano beni e servizi o procedano al monitoraggio di comportamenti all’interno dell’UE. L’adempimento della nomina non sarà necessario nel caso in cui tale organizzazione abbia già un ramo d’azienda, un Ufficio o uno stabilimento nel territorio comunitario o qualora il trattamento sia a basso rischio[18] o comunque saltuario.

  1. Conclusioni

Un accordo che non replica i diritti ed i vantaggi di uno Stato membro ma fonda un nuovo partenariato che noi vorremmo giusto ed equo[19]”. Così Michel Barnier, capo negoziatore per l’uscita del Regno Unito dall’UE ha descritto il TCA che, almeno in materia di dati personali, lascia ancora spazio a novità e cambiamenti che, ancora per i prossimi sei mesi, non porranno fine al progetto del mercato unico digitale.

[1]Trade and cooperation agreement between the European Union and the European Atomic Energy Community, of the one part, and the United Kingdom of Great Britain and Northern Ireland, of the other part”. È possibile consultare il testo integrale dell’accordo a questo link

[2] Così viene definito nell’accordo il periodo di transizione prorogato

[3] Department for Digital, Culture, Media & Sport, Department for Business, Energy & Industrial Strategy, Office for Civil Society, and Information Commissioner’s Office, “Using personal data in your business or other organisation from 1 January 2021”, disponibile qui

[4] Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, disponibile al seguente link

[5] The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, disponibile al seguente link

[6]Data protection and Brexit, How the UK’s withdrawal from the EU will affect the EU GDPR”, Dicembre 2020, Reperibile al seguente link

[7] Interim provision for transmission of personal data to the United Kingdom, si rinvia a p. 406-408 del seguente link

[8] D. Battaglia, “Brexit: in extremis messa una toppa per il trasferimento dei dati”, Gennaio 2021, disponibile qui

[9]Considerando 101 Regolamento 679/2016: “I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione

[10] M. Mandico, “Il Trasferimento dei dati personali verso Paesi Terzi o Organizzazioni Internazionali” in Data Protection Law n. 2/2019, p. 4

[11] Corte di Giustizia UE, sentenza C-362/14, 6 Ottobre 2015. Tale vicenda ha inizio nel 2015 quando un attivista Austriaco, Maximilian Schrems, presenta una denuncia nei confronti di Facebook Ireland Limited dinanzi a un giudice al fine di vietare a Facebook di trasferire ulteriormente i dati dall’Irlanda agli Stati Uniti. Egli afferma che l’azienda non avrebbe rispettato i suoi diritti alla riservatezza e alla protezione dei dati personali, fatto che sarebbe dovuto essere garantito dalla normativa UE, nel caso di trasferimento di dati verso paesi extra-UE. In seguito a tale procedimento, la CGUE ha dichiarato anche invalido il regime di Safe Harbor, che nel 2000 fu garantito dalla Commissione europea, in quanto trattato adeguato alla protezione dei dati personali trasferiti al di fuori dell’UE. Quest’ultima accusa viene resa più credibile grazie alle rivelazioni di Edward Snowden, che denunciò una serie di programmi di sorveglianza di massa delle comunicazioni dati utenti di aziende come Facebook e Google condotti dall’Agenzia di sicurezza nazionale americana.

[12] Per ulteriori approfondimenti si rinvia a G. Fragalà, Schrems II: il Privacy Shield UE-USA non è adeguato, Ius in itinere, disponibile qui: https://www.iusinitinere.it/schrems-ii-il-privacy-shield-ue-usa-non-e-adeguato-29649 e A. Valeriani, Post Schrems II: le indicazioni dell’EDPS e dell’EDPB, Ius in itinere, disponibile qui: https://www.iusinitinere.it/post-schrems-ii-le-indicazioni-delledps-e-delledpb-32310

[13] Così ha dichiarato l’Information Commission Officer Inglese già prima dell’accordo del 24 Dicembre. Un utile webinair sul tema illustra tali informazioni

[14] Si rinvia al webinair indicato nella nota precedente

[15] Così ha stabilito l’European Data Protection Officer nel documento “Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems”

[16] Articolo 49 Regolamento 679/2016

[17] L’articolo 4 del GDPR lo descrive come “la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento”.

[18] Secondo il considerando 75 GDPR il concetto di rischio si basa sull’effettivo pericolo per i diritti e le libertà del titolare dei dati e s’intende sussistente nelle ipotesi in cui  il trattamento possa comportare, tra gli altri, discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualora siano trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali (…)

[19]M. Barnier, Dichiarazione del 24 Dicembre 2020, profilo twitter

Beatrice Eleuteri

24 anni, dopo la maturità linguistica si laurea con lode in Giurisprudenza presso l’Università degli studi di Macerata con una tesi dal titolo “Problemi di diritto Internazionale privato nel trattamento dei dati personali”, volta ad indagare le ripercussioni causate dall’assenza di una riflessione in punto di conflitto di leggi nell’ambito delle operazioni di trattamento transfrontaliero. Appassionata di Diritto delle nuove tecnologie, Diritto Europeo, Commerciale e Societario, dopo un’esperienza di studio presso l’Universidad de Sevilla ed un tirocinio presso il Consolato Generale d’Italia a Parigi, ha frequentato il general course on IP della WIPO ed ha intrapreso la pratica forense. Collabora con Ius in itinere per l’area IP & IT.

Lascia un commento