I possibili scenari sul trasferimento dei dati personali dopo la Brexit

di Fabiola Iraci Gambazza -

A tre anni dalla manifestata intenzione da parte del Regno Unito di uscire dall’Unione Europea, preceduta dal famoso referendum del 2016 – così come previsto dall’art. 50 del Trattato sull’UE-, il Consiglio europeo, a seguito della ratifica dello Stato e l’approvazione del Parlamento europeo, ha concluso l’accordo di recesso e ha adottato una dichiarazione politica sul quadro delle future relazioni. Difatti, il Regno Unito è ufficialmente Paese Terzo dal 31 gennaio 2020. L’accordo di recesso prevede conseguentemente l’inizio di un lungo periodo di transizione che vedrà il suo termine il 31 dicembre 2020, nel corso del quale un ampio rango di regole resteranno vigenti all’interno dell’ex Stato membro. Tra queste, vi è la normativa sulla privacy e sul trattamento dei dati personali entrata in vigore nel 2016 con il Regolamento 679/2016 (il “famigerato” GDPR).
Tuttavia, alcune domande sorgono spontanee: al termine di questi undici mesi di transizione, quali sono i possibili scenari che si affacciano in ambito privacy? Come verrà regolamentato il trasferimento di dati personali verso un Paese terzo dell’Unione? Quale livello di garanzie è richiesto all’ex Stato membro?
La Commissione europea per le Relazioni tra Regno Unito ed Unione europea in uno statement del 10 febbraio 2020, ha confermato la volontà politica di raggiungere una decisione di adeguatezza, secondo quanto previsto dall’art. 45 del Regolamento europeo.
Il periodo di transizione vedrà coinvolti sia la Commissione europea che il Regno Unito nelle procedure di valutazione: da un lato, la Commissione si occuperà di valutare se il Regno Unito possa garantire un livello adeguato di protezione dei dati personali, in conformità ed in linea con quello adottato da parte dell’Unione europea, così da poter adottare una decisione di adeguatezza; dall’altro lato, il Regno Unito lavorerà ad un piano di regolamentazione sul trasferimento dei dati all’estero, tenendo conto di quello che avverrà anche verso l’Unione europea, secondo quanto è stabilito dal paragrafo 9 della Political Declaration (si cita testualmente: “Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met”). Indipendentemente dalla relazione tra Unione europea e Regno Unito, sarà mantenuta la reciproca autonomia delle rispettive normative sulla privacy.
Il GDPR ha per lo più mantenuto la medesima regolamentazione in ordine al trasferimento di dati personali verso Paesi terzi della direttiva 94/46 CE: se per il flusso di dati all’interno dell’Unione europea, vale il principio di libera circolazione, per il trasferimento verso paesi terzi sussiste il principio di circolazione controllata. L’ammissione di una circolazione libera di flussi di dati verso un Paese terzo dell’Unione è subordinata alla condizione che vi sia stata una decisione di adeguatezza da parte della Commissione, valutando che il livello di garanzia dei dati personali sia adeguato allo standard europeo, offerto dallo stesso regolamento. La Commissione tiene conto di una serie di fattori per la valutazione dell’adeguatezza del livello di protezione dello Stato terzo, così come elencati dall’art. 45 del GDPR, tra i quali: il contesto normativo- che include anche la normativa in materia di privacy- e la protezione dei diritti e delle libertà fondamentali; la presenza di un’autorità di controllo indipendente e l’efficiente garanzia offerta nel rispetto della normativa sulla protezione dei dati personali; gli impegni assunti dal Paese terzo o degli obblighi assunti in relazione alla protezione dei dati personali. Tuttavia, tali parametri non possono essere ritenuti esaustivi: difatti, la valutazione in merito alla legislazione vigente deve estendersi al verificare se gli strumenti di tutela proposti dallo Stato possano ritenersi efficaci concretamente e sostanzialmente in ambito di protezione dei dati, oltre al fatto che l’Autorità garante debba effettivamente svolgere un potere adeguato di esecuzione e di cooperazione coi soggetti interessati, nel pieno esercizio dei diritti riconosciuti dal GDPR. Il procedimento sulla decisione di adeguatezza prevede l’intervento del Comitato europeo per la protezione dei dati personali nel rilascio di un parere e successivamente allo stesso, la dichiarazione di adeguatezza da parte della Commissione, la quale avrà il compito di riesaminarla, ogni quattro anni, al fine di controllare che quel livello di protezione sia continuamente garantito. Invero, l’emanazione di una decisione di adeguatezza non esclude la necessità di una continua cooperazione internazionale che l’Unione europea dovrà intrattenere con il Regno Unito, così come disposto dall’art. 50 del GDPR. La cooperazione internazionale faciliterà l’applicazione della normativa sulla protezione dei dati personali, con assistenza reciproca e lo scambio di informazioni relative alle indagini, oltre che di best practices da attuare.
In assenza di una decisione di adeguatezza, il trasferimento di dati personali potrà avvenire sulla base degli strumenti elencati per la maggior parte dagli artt. 46 e 47 del Regolamento europeo 2016/679. Il primo di questi si applica con riferimento al trasferimento dei dati personali tra le autorità pubbliche e consiste alternativamente in uno strumento “giuridicamente vincolante avente efficace esecutiva”, oppure in specifiche disposizioni da inserire all’interno di accordi amministrativi aventi ad oggetto l’esercizio di diritti effettivi ed azionabili per gli interessi, previo necessario assenso da parte dell’autorità di controllo competente. La seconda modalità per regolamentare il trasferimento dei dati personali all’estero consiste nell’inserimento di apposite clausole tipo all’interno di contratti o in allegato agli stessi che siano in linea con la normativa europea sulla protezione dei dati personali; clausole che sono state precedentemente adottate da parte della Commissione oppure dall’Autorità Garante, con successiva approvazione della Commissione. La prassi vede il ricorrente utilizzo delle model contract clauses da parte delle società commerciali per il trasferimento dei dati personali all’estero, nei contratti tra soggetti che si trovano all’interno dello spazio dell’Unione tra il soggetto che si trova all’interno dello spazio dell’Unione e soggetti che ne stanno al di fuori. Le anche dette standard contractual clauses devono obbligatoriamente essere sottoscritte da entrambe le parti e non possono essere oggetto di modifica, anche se è possibile aggiungere clausole al contratto che non entrino in contrasto con quelle inserite (così si ritiene ammesso dal Considerando n. 109). Un’eventuale modifica o correzione delle clausole tipo comporta la loro trasformazione in clausole ad hoc, che possono comunque ritenersi conformi alla normativa europea sul trattamento dei dati personali, ma solamente a seguito della previa valutazione positiva dell’Autorità garante.
Un ulteriore strumento, innovativo rispetto ai precedenti, è quello dell’adozione di codici di condotta o di meccanismi di certificazione, che contengano le garanzie adeguate alla protezione dei dati personali (art. 46 lett. d e lettera e). Entrambi i mezzi richiedono un “impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati”, con la differenza che i codici di condotta possono trovare l’adesione non sono di associazioni o organismi rappresentanti le categorie dei titolari del trattamento, ma anche dei titolari del trattamento che non soggetti all’art.3 del GDPR. Tale impegno vincolante ed esecutivo deve contenere delle misure adeguate per i soggetti interessati, tra cui anche le istruzioni su come poter contattare il soggetto titolare o l’Autorità garante. Il Comitato europeo per la protezione dei dati personali ha fornito delle linee guida al fine di chiarire il contenuto degli artt. 40 e 41 che nello specifico, regolamentano i codici di condotta.
All’art. 47 è disciplinato un ultimo strumento che può essere adottato in alternativa alla decisione di adeguatezza, ossia le cosiddette “BCR”, o norme vincolanti di impresa. Queste si applicano nel contesto del trasferimento dei dati personali tra gruppi societari o tra gruppi di imprese, che svolgono attività economiche in comune, da un Paese all’interno dell’Unione europea ad un Paese terzo. Le norme vincolanti di impresa non sono altro che un insieme di regole tecniche, di policies e di principi vincolanti (binding corporate rules o BCR) che devono essere seguiti da parte dei membri del gruppo, denominati controller e processor, cioè rispettivamente titolari che importano ed esportano i dati.
La procedura per l’adozione delle BCR prevede l’intervento da parte dell’Autorità garante in cui ha sede la società madre del gruppo societario o imprenditoriale o comunque la società scelta a seconda dei parametri che vengono previsti dalle linee guida e alla quale viene fatta richiesta di adozione. Il progetto contenente le norme deve essere soggetto alla collaborazione dell’Autorità col gruppo societario e difatti nel corso della fase istruttoria, è possibile che l’autorità richieda maggiori informazioni e delucidazioni alla società capogruppo. Il procedimento dura diciotto mesi e nel corso dello stesso, saranno valutate le norme sulla base di requisiti di validità: essere giuridicamente vincolanti; l’attribuzione di diritti azionabili agli interessati ed attraverso quale modalità. Inoltre, queste devono contenere obbligatoriamente: la struttura e i dati di contatti di tutti i membri che compongono i gruppi imprenditoriali o societari; quali tipologie di dati personali sono oggetto del trasferimento; indicazione del Paese al quale tali dati vengono trasferiti. Sorge dall’adozione delle norme vincolanti l’obbligo per il Paese terzo di rispettare i principi generali del Regolamento europeo, tra i quali a titolo esemplificativo: principio della minimizzazione dei dati; principio di limitazione alla conservazione; principio di qualità dei dati; principio di protezione dei dati sin dal momento della progettazione o per impostazione predefinita etc.
Come ultima opportunità, sarà possibile rientrare all’interno del regime derogatorio previsto all’art. 49 del Regolamento europeo 2016/679, che però mantengono un contenuto del tutto eccezionale, così come chiarito dalle linee guida 2/2018 del Comitato europeo per la protezione dei dati.