giovedì, Marzo 28, 2024
Uncategorized

Il trasferimento dei dati personali da e verso il Regno Unito dopo la Brexit

  1. La tutela dei dati personali nel contesto post Brexit

Il 1° febbraio 2020 è entrato in vigore l’Accordo sul recesso del Regno Unito dall’Unione europea, sancendo così l’uscita ufficiale del Regno Unito dall’UE e l’inizio del periodo di transizione, che terminerà il 31 dicembre 2020[1].

L’Accordo di recesso prevede che il periodo transitorio possa essere esteso con un accordo tra le parti, entro il 30 giugno 2020, una sola volta e per un periodo massimo di due anni[2].

L’Accordo regolamenta le modalità di uscita del Regno Unito su alcuni temi di fondamentale importanza per l’UE, in modo da consentire un recesso ordinato per fasi e una tutela adeguata dei cittadini e degli operatori economici.

Inoltre, è previsto che dal 1° febbraio al 31 dicembre 2020 avrà luogo il negoziato sull’accordo delle future relazioni tra l’UE e il Regno Unito[3].

Tutto ciò, evidentemente, produce e produrrà nel tempo ricadute sia sul piano economico che giuridico e, in particolare, in materia di protezione dei dati personali.

In base all’Accordo, durante il periodo di transizione, il diritto dell’Unione in materia di protezione dei dati personali e, in particolare, il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR) continuerà ad applicarsi al Regno Unito.

Ciò che accadrà effettivamente al termine del periodo di transizione dipende dal negoziato che avrà luogo nei prossimi mesi.

Tuttavia, l’Information Commissioner’s Office (ICO, ovvero l’autorità britannica per la tutela dei dati personali) ha chiarito che la posizione di default del Regno Unito è la stessa di quella ipotizzata per il caso di una cosiddetta no-deal Brexit: le prescrizioni contenute nel GDPR verranno incorporate nella legge britannica sulla protezione dei dati personali, ovvero il Data Protection Act 2018[4].

Per rendere tutto ciò possibile, nel Regno Unito è stato approvato il Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (cosiddetto Exit Regulations), il quale consentirà alle prescrizioni del GDPR, attualmente in vigore nel Regno Unito, di adattarsi ad un contesto unicamente nazionale[5].

  1. Il trasferimento dei dati personali verso il Regno Unito dopo la Brexit

Alla luce del quadro normativo così sintetizzato, occorre fare chiarezza sulle modalità in cui avverrà il trasferimento dei dati personali verso il Regno Unito durante il periodo di transizione e al termine dello stesso.

Il trasferimento dei dati personali durante il periodo di transizione parrebbe non destare particolari criticità, in quanto – sulla base dell’Accordo –non subirà restrizioni.  

Tuttavia, al termine del periodo di transizione, il Regno Unito verrà considerato un paese terzo e, pertanto, si applicheranno le previsioni del GDPR in materia di trasferimento dei dati personali verso paesi terzi.

L’art. 44, GDPR enuncia il principio generale secondo cui qualsiasi trasferimento di dati personali verso un paese terzo (o un’organizzazione internazionale) si applicano tutte le salvaguardie previste dal Capo V del GDPR.

In tal modo, il GDPR ha inteso assicurare che il livello di tutela dei dati personali non venga pregiudicato dall’uscita dei dati personali dall’UE, evitando che i titolari soggetti al GDPR ne aggirino l’applicazione trasferendo i dati verso un paese terzo.

Quanto al concetto di “trasferimento” di dati personali, si intende qualsiasi divulgazione o propagazione di dati personali da un soggetto ad un altro, con qualsiasi mezzo, quando tali dati sono destinati al trattamento verso un paese o in un’organizzazione internazionale[6].

Si precisa che non è necessario che vi sia una trasmigrazione di dati personali da uno Stato membro verso il paese terzo, essendo sufficiente il semplice accesso dal paese terzo.

La Corte di Giustizia ha peraltro precisato – evitando così il crearsi di situazioni paradossali – che non costituisce trasferimento transfrontaliero il mero inserimento di dati personali in una pagina web il cui server si trova all’interno dell’UE[7].

  1. Il trasferimento di dati personali sulla base di una decisione di adeguatezza

Innanzitutto, l’art. 45, GDPR, prevede che il trasferimento dei dati dall’UE verso paesi terzi può avvenire sulla base di una decisione di adeguatezza, ovvero una decisione vincolante della Commissione europea che riconosce che un paese terzo offre un livello di protezione sostanzialmente equivalente a quello garantito dall’Unione e, pertanto, adeguato[8].

In questo modo, i dati personali possono essere trasferiti specularmente a quanto avviene all’interno dell’UE[9].

La Commissione europea ha dichiarato di voler iniziare la valutazione sull’adeguatezza del Regno Unito il prima possibile dopo il recesso dello stesso dall’UE, in modo da adottare la decisione entro la fine del 2020, se saranno soddisfatte le condizioni applicabili.

 In particolare, la Commissione dovrà valutare che il Regno Uniti soddisfi i requisiti stabiliti dall’art. 45, par. 2 GDPR, ovvero:

  • il rispetto, tra l’altro, dello stato di diritto, dei diritti umani e delle libertà fondamentali, la protezione garantita dal DPA 2018, la pertinente legislazione generale e settoriale nonché l’attuazione di tale legislazione. Inoltre, saranno valutate le misure di sicurezza, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
  • l’esistenza e l’effettivo funzionamento, nel Regno Unito, di una o più autorità di controllo indipendenti (come, ad esempio, l’ICO), dotata di adeguati poteri di controllo ed esecutivi, al fine di assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri;
  • l’impegno alla cooperazione internazionale, che il Regno Unito ha già assunto.

Ai sensi dell’art. 45, par. 3, GDPR, la Commissione europea decide sull’adeguatezza del paese terzo mediante un atto di esecuzione, che prevede un meccanismo di riesame periodico (almeno ogni quattro anni) che tenga conto di tutti gli sviluppi pertinenti nel paese terzo (in questo caso, nel Regno Unito) [10].

  1. Il trasferimento di dati personali soggetto a garanzie adeguate

Tuttavia, se non sarà possibile adottare una decisione di adeguatezza entro la fine del periodo di transizione o non saranno soddisfatte le condizioni richieste dal GDPR, i titolari (o i responsabili) che trasferiscono dati verso il Regno Unito dovranno adottare gli altri meccanismi per il trasferimento dei dati extra-UE previsti dal Regolamento.

In particolare, il GDPR prevede che il titolare del trattamento (o il responsabile) può trasferire i dati verso un paese terzo (o una organizzazione internazionale) solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

A tal fine, il Regolamento prevede i seguenti strumenti che possono costituire garanzie adeguate:

      I. clausole standard adottate dalla Commissione;

      II. clausole ad hoc;

      III. Binding Corporate Rules;

      IV. codici di condotta;

      V. meccanismi di certificazione.

I. Le clausole contrattuali standard (art. 46, par.2, lett. c), GDPR)

La Commissione europea può adottare – mediante atto di esecuzione – strumenti contrattuali, c.d. clausole tipo o standard model clause, che consentono di trasferire dati personali verso paesi terzi.

In sostanza, incorporando il testo delle clausole standard in un contratto utilizzato per il trasferimento, l’ente UE garantisce che i dati personali saranno trattati conformemente a quanto stabilito dal GDPR.

Si noti che tali clausole non sono modificabili ma possono essere arricchite con clausole aggiuntive, purché non contraddittorie rispetto alle clausole standard.

La Commissione ha adottato, ante Regolamento, tre serie di clausole tipo di protezione dei dati: due per i trasferimenti da titolari dall’UE a titolari di paesi terzi[11] e una per trasferimenti da titolari nell’UE a responsabili in paesi terzi[12].

Tali decisioni restano valide fintanto che non verranno modificate, sostituite o abrogate, se necessario.

Infine, si noti che anche le Autorità di controllo nazionali (in Italia, il Garante per la protezione dei dati personali) possono adottare clausole tipo, previa approvazione della Commissione europea.

II. Le clausole contrattuali ad hoc (art. 46, par.3, lett. a), GDPR)

Il titolare (o il responsabile) potrà negoziare delle clausole contrattuali ad hoc con le controparti nel Regno Unito, al fine di fornire adeguate salvaguardie, in considerazione delle specificità del caso concreto.

 Queste clausole, anche se relative ad accordi tra privati, devono essere autorizzate dall’Autorità garante competente, previo parere del Comitato europeo per la protezione dei dati (EDPB, ex Gruppo di Lavoro Articolo sull’art. 29), al fine di assicurare un’applicazione coerente del Regolamento all’interno dell’UE. [13]

III. Le Binding Corporate Rules (art.47, GDPR)

 Le Binding Corporate Rules (“BCR”) si concretizzano in un documento contente delle clausole vincolanti per le società appartenenti a uno stesso gruppo.

Tale meccanismo meglio si adatta a grandi imprese multinazionali, poiché consente il trasferimento di dati personali dal territorio UE verso paesi terzi nell’ambito di un gruppo imprenditoriale che svolge un’attività economica comune. 

Le BCR devono essere approvate dalla competente Autorità garante nazionale (art. 58, par. 3, lett. j, GDPR) o dall’Autorità capofila (art. 57, par. 1, lett. s, GDPR).

A norma dell’art. 47, par. 1, GDPR, l’Autorità competente approva le BCR in base al meccanismo di cui all’art. 63, GDPR, purché queste soddisfino i requisiti di cui all’art. 47, par. 2, GDPR, tra cui[14]

  • la chiara indicazione dell’ambito geografico di applicazione;
  • la descrizione generale dei trasferimenti;
  • la natura giuridicamente vincolante delle regole;
  • la descrizione dei principi che devono essere osservati dalle imprese;
  • la descrizione dei diritti azionabili dagli interessati;
  • l’obbligo per le sedi principali del gruppo nell’UE di assumersi le responsabilità e di concordare di intraprendere le azioni necessarie per porre rimedio agli atti dei membri extra-UE del gruppo;
  • l’istituzione di un processo interno di gestione dei reclami, al fine di consentire agli interessati di esercitare i propri diritti e proporre reclamo nei confronti di qualsiasi membro del gruppo;
  • l’obbligo di effettuare verifiche periodiche infragruppo.

IV. I codici di condotta (art. 40, GDPR)

 In mancanza di una decisione di adeguatezza, i codici di condotta possono costituire adeguati strumenti per il trasferimento transfrontaliero di dati personali.

I codici devono essere accompagnati dall’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati (art. 46, par.2, lett. e) GDPR).

Pertanto, i codici di condotta devono essere giuridicamente vincolanti, prevedere delle sanzioni in caso di violazione delle norme ivi contenute e garantire agli interessati la possibilità di esercitare i propri diritti.

L’art. 40, par. 3, GDPR prevede che i titolari o i responsabili del trattamento di paesi terzi possono aderire ai codici di condotta, assumendosi l’impegno vincolante e azionabile (e.g., mediante strumenti contrattuali) di applicare le stesse adeguate garanzie circa i diritti degli interessati.

V. I meccanismi di certificazione (art. 42, GDPR)

 I meccanismi di certificazione possono incrementare la trasparenza non solo per gli interessati, ma anche nel quadro delle relazioni tra imprese, per esempio tra titolare del trattamento e responsabile del trattamento[15].

Affinché i meccanismi di certificazione possano costituire strumenti idonei a garantire adeguate tutele per i trasferimenti verso i paesi terzi e, in particolare, verso il Regno Unito, devono applicarsi le regole sopra esposte con riferimento ai codici di condotta.

Al pari dei codici di condotta, infatti, la certificazione dovrà prevedere l’impegno giuridicamente vincolante (e.g., mediante un accordo ad hoc) del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

  1. Gli strumenti per il trasferimento di dati personali verso paesi terzi previsti dal GDPR per le autorità e gli organismi pubblici

Infine, vi sono degli strumenti destinati esclusivamente agli organismi pubblici o alle autorità pubbliche con riferimento al trasferimento di dati personali verso altri organismi e/o autorità pubblici.

In particolare, i dati personali possono essere trasferiti:

  • attraverso uno strumento giuridicamente vincolante e avente efficacia esecutiva (art. 46, par. 2, lett. a), GDPR), come un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale;
  • mediante disposizioni da inserire in accordi amministrativi (art. 46, par. 3, lett. b), GDPR) – quali ad esempio i protocolli d’intesa – che devono essere approvati dall’autorità di controllo competente[16].
  1. Le deroghe previste dal GDPR

L’art. 49 GDPR prevede poi delle deroghe che consentono di trasferire dati verso paesi terzi a determinate condizioni e, in ogni caso, in via eccezionale rispetto alla regola dell’esistenza di garanzie adeguate o di una decisione di adeguatezza.

Sul punto, il Comitato europeo ha precisato che nell’applicare l’art. 49, GDPR, il titolare che trasferisce i dati fuori dall’UE è tenuto comunque all’osservanza delle condizioni previste dalle altre disposizioni del GDPR.

Pertanto, anche in questo caso, ogni attività di trattamento deve essere conforme alle disposizioni sulla protezione dei dati, segnatamente quelle degli articoli 5 e 6, GDPR, rendendosi necessaria una verifica articolata in due fasi: (i) il trattamento dei dati deve essere fondato su una base giuridica, nel rispetto di tutte le disposizioni pertinenti del GDPR; (ii) occorre ottemperare alle disposizioni di cui al Capo V, GDPR[17].

L’art.  49, par. 1, GDPR prevede che, in mancanza di una decisione di adeguatezza o di garanzie adeguate, è ammesso il trasferimento di dati personali extra-UE se si verificano determinate condizioni, tra cui:

  • il consenso esplicito dell’interessato al trasferimento, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
  • la necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato tra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
  • la necessità del trasferimento per importanti motivi di interesse pubblico;
  • la necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.

In conformità con i principi del diritto UE, le deroghe di cui all’art. 49, GDPR devono essere interpretate in maniera restrittiva, affinché l’eccezione non diventi la regola.

In ogni caso, i titolari e/o i responsabili dovrebbero promuovere soluzioni che offrano agli interessati la garanzia di continuare a beneficiare, dopo il trasferimento, dei diritti fondamentali e delle garanzie previste dal GDPR.

Infine, gli “esportatori di dati” devono essere consapevoli che, in mancanza di una decisione di adeguatezza, l’UE o i singoli Stati membri possono, per motivi di interesse pubblico, limitare il trasferimento di categorie specifiche di dati personali verso un paese terzo o un’organizzazione internazionale.

  1. Trasferimento dei dati personali dal Regno Unito

Per quanto concerne il trasferimento di dati personali dal Regno Unito, il governo britannico ha affermato che i dati personali potranno liberamente circolare dal Regno Unito verso i paesi dell’UE.

In merito, il Comitato europeo per la protezione dei dati ha invitato i cittadini e gli operatori economici a visitare periodicamente il sito del governo del Regno Unito[18] e quello dell’ICO[19].

  1. Step da compiere per essere preparati

In conclusione, si riportano gli step indicati dal Garante europeo al fine di prepararsi al meglio – soprattutto nel caso in cui dovesse mancare una decisione di adeguatezza – durante il periodo di transizione[20]:

  • mappare le attività di trattamento che implicano un trasferimento di dati personali verso il Regno Unito;
  • individuare uno strumento giuridico appropriato per il trasferimento di dati personali;
  • implementare lo strumento giuridico per il trasferimento dei dati scelto prima del 31 dicembre 2020;
  • nel caso in cui siano state mappate attività che implicano il trasferimento dei dati verso il Regno Unito, aggiornare la documentazione interna, indicando il suddetto trasferimento;
  • aggiornare, di conseguenza, l’informativa sulla protezione dei dati.

[1] Il testo integrale dell’Accordo è consultabile al seguente link:

[2] Tuttavia, si segnala che il primo Ministro del Regno Unito, Boris Johnson, ha preannunciato che non intende richiedere una estensione del summenzionato periodo. 

[3] Si specifica che il futuro accordo tra UE e Regno Unito, a differenza dell’Accordo di recesso, dovrebbe avere natura mista (i.e., riguarderà sia le competenze dell’UE e che degli Stati membri) e dovrà essere ratificato da ciascun Stato membro.

[4] ICO, Information rights and Brexit Frequently Asked Questions, in https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf

[5] Il testo integrale dell’Exit Regulations è consultabile al seguente link: http://www.legislation.gov.uk/uksi/2019/419/introduction/made

[6] S. Modesto, I trasferimenti di dati personali verso paesi terzi, in A. D’Agostino, L.R. Barlassina, V. Colarocco, Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato, Edizioni TopLegal Academy; 2019

[7] Corte di Giustizia Europea, sentenza del 6 novembre 2003, causa C-101/01, Göta hovrätt vs Bodil Lindqvist

[8] Sul punto, la Corte di Giustizia Europea ha stabilito che l’adeguatezza deve essere valutata “ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona”, coerentemente con l’art. 8, par. 1, della Carta dei Diritti Fondamentali dell’Unione (causa C-362/14, Maximilian Schrems vs Data protection Commissioner).

[9] Le decisioni di adeguatezza fino ad ora adottate dalla Commissione europea sono disponibili al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

[10] L’ atto di esecuzione è adottato secondo la procedura dell’art. 93, par.2, GDPR.

[11] Decisioni della Commissione europea n. 2001/497/CE del 15 giugno 2011 e n. 2004/915/CE del 27 dicembre 2004.

[12] Decisione della Commissione europea n. 2010/87/CE del 5 febbraio 2010.

[13]Il Comitato europeo ha emesso un documento contenente un set di clausole da applicarsi ai trasferimenti di dati personali effettuati da un responsabile del trattamento UE verso un sub-responsabile in un paese terzo (WP-214 del 21 marzo 2014) Tuttavia, tali clausole non sono state adottate dalla Commissione e, pertanto, non costituiscono un set ufficiale di clausole. Il documento WP-214 è disponibile al seguente link: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp214_en.pdf

[14] Informazioni più dettagliate sul contenuto delle BCR e sull’iter di approvazione sono disponibili ai seguenti link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_it; .

[15] Per ulteriori informazioni sui meccanismi di certificazione, EDPB, Linee guida 1/2018 relative alla certificazione e all’identificazione di criteri di certificazione in conformità degli articoli 42 e 43 del regolamento (UE) 2016/679, disponibili al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_it.pdf.

[16] La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b) resa dal Garante alla CONSOB è disponibile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9119857

[17] EDPB, Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679, disponibili al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf.

[18] https://www.gov.uk/

[19] https://ico.org.uk/for-organisations/data-protection-and-brexit/

[20] EDPS, Information note on international data transfers after Brexit, in https://edps.europa.eu/sites/edp/files/publication/19-07-16_for_translation_note_on_personal_data_transfers_post-brexit_en.pdf

Ariella Fonsi

Laureata in Giurisprudenza nel 2017 presso l’Università LUISS “Guido Carli”, dal 2021 è abilitata all'esercizio della professione forense. Dopo aver conseguito il master in “Diritto e Impresa” erogato dalla 24ORE Business School di Milano, si occupa di contrattualista IT e di diritto dei dati.  

Lascia un commento