Proprio ieri il Garante per la protezione dei dati personali in una efficace locandina ha presentato le soluzioni pratiche per lo scambio di dati con lo UK in caso di “Hard Brexit”.
Dopo la Brexit, ma in particolare dopo la legge sulla protezione dei dati 2018, il GDPR continuerà ad applicarsi (integralmente) alle società britanniche che elaborano i dati in modo tale da farli rientrare nel suo ambito,
di fatto il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019.
Il GDPR e l’ACT ( legge che si occupa di privacy nello UK) sono entrambi applicati dall’Information Commissioner (lo stesso ruolo istituzionale del Garante per la protezione dei dati personali in Italia) attraverso l’Ufficio dell’Information Commissioner o ICO.
E’ giusto ricordare che il GDPR comprende anche disposizioni che consentono alla Commissione Europea di emettere una decisione di adeguatezza laddove il paese non UE sia in grado di dimostrare di disporre di leggi adeguate sulla protezione dei dati e un’autorità indipendente ed efficace per la protezione dei dati.
Con un parere favorevole quindi sarebbe possibile trasferire liberamente dati personali al paese terzo extra UE proprio alla stregua di un altro Stato membro.
Il Regno Unito sembrerebbe essere, secondo i regolamenti GDPR ma solo teoricamente, un paese che ha un complesso normativo articolato e che rispetta i requisiti di adeguatezza richiesti dall’Unione.
Tuttavia, questo criterio di adeguatezza non può non prendere in considerazione le valutazioni politiche del caso, che necessariamente complicano la questione.
Le condizioni richieste per l’applicazione del GDPR dal Regno Unito sarebbero diverse da qualsiasi altro stato terzo. In questo caso si richiederebbe un criterio di adeguatezza “rafforzato“, a causa del ruolo dell’ICO che a fronte della Brexit sta cercando di ottenere l’incarico formale per continuare a partecipare al Comitato Europeo per la protezione dei dati, che garantirebbe al Regno Unito l’applicazione coerente della propria legge nazionale.
Gli scenari possibili nel Regno Unito potrebbero essere quindi tre:
1. (NO DEAL Hard Brexit) Nessun accordo: il Regno Unito diventa un paese terzo, al quale gli Stati membri dell’UE non possono trasferire dati personali a meno che non sia in atto una soluzione legale (accordo bilaterale specifico) per il trasferimento dei dati. Ed è proprio questo il caso che ha spinto il Comitato Europeo per la Protezione dei Dati (EDPB) ad adottare una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del Regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue.
2. Decisione di adeguatezza: il Regno Unito è riconosciuto come paese “adeguatamente” preparato, in cui i dati personali possono essere liberamente trasferiti dagli Stati membri dell’UE. Tuttavia, l’ICO non parteciperebbe al comitato europeo per la protezione dei dati, il che potrebbe comportare un approccio incoerente tra l’ICO e le autorità di regolamentazione europee.
3. Decisione di adeguatezza rafforzata: il Regno Unito è riconosciuto come paese approvato e l’ICO parteciperà al comitato europeo per la protezione dei dati. Inutile dire che questa proposta del governo britannico ha incontrato la resistenza dell’UE.
In una recente intervista, Euronews, ha incontrato il ministro britannico per il digitale e le industrie creative Margot James che il summit europeo sul Web, nel Regno Unito, non ha “nessuna intenzione” di modificare il regolamento generale sulla protezione dei dati (GDPR), perché il governo britannico si sente “orgoglioso di aver già adottato un importante atto comunitario”[1]
[1] https://www.euronews.com/2018/11/08/uk-will-keep-gdpr-after-brexit-digital-minister-tells-euronews
Marco Fiore