Double-trouble per i trasferimenti di dati personali verso il Regno Unito: Brexit e Schrems II
di Roberta Di Vieto, Mattia Salerno e Paola Redaelli
Il 31 gennaio scorso a mezzanotte è entrato in vigore l’accordo di recesso concluso tra il Regno Unito di Gran Bretagna, l’Irlanda del Nord (nel seguito, congiuntamente il “Regno Unito”) e l’Unione Europea[1].
Come noto, tale accordo ha sancito, da un lato, la definitiva uscita del Regno Unito dall’Unione Europea e, dall’altro, l’inizio del c.d. periodo transitorio che si concluderà, salvo proroghe, il 31 dicembre 2020.
Fino a tale data il diritto dell’Unione Europea continua ad essere applicabile nel Regno Unito e, per quanto qui rileva, il Regno Unito è vincolato dal corpus normativo dell’Unione in materia di protezione dei dati personali e, segnatamente dal Regolamento Europeo n. 679/2016 (GDPR).
A partire dal 1 gennaio 2021 cosa accadrà ai flussi di dati personali verso l’Oltremanica?
Si tratta di un interrogativo particolarmente rilevante per gli operatori del settore in quanto, a far data dal 1 gennaio 2021, il Regno Unito diventerà a tutti gli effetti un “paese terzo” e, quindi, i trasferimenti di dati personali verso il Regno Unito dovranno fondarsi su uno dei meccanismi sanciti agli artt. 44 ss del GDPR.
Ebbene, fino a qualche mese fa poteva essere ragionevolmente auspicabile[2] che la Commissione Europea avrebbe adottato nei confronti del Regno Unito una c.d. “decisione di adeguatezza” ai sensi dell’art. 45 GDPR.
Tuttavia, a meno di due mesi dalla fine del periodo transitorio, la Commissione Europea non si è ancora pronunciata circa il livello di adeguatezza garantito dal Regno Unito.
Una possibile battuta d’arresto, o quanto meno un rallentamento, all’iter necessario per la adozione di una decisione di adeguatezza nei confronti del Regno Unito potrebbe essere stata segnata dalla recente sentenza della Corte di Giustizia Europea del 16 luglio scorso[3], meglio nota come “Schrems II”.
La citata pronuncia, infatti, ha invalidato la decisione di esecuzione (UE) 2016/1250 della Commissione del 12 Luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy (“Privacy Shield”) ritenendo che la normativa interna degli Stati Uniti, in punto di accesso e utilizzo da parte delle autorità statunitensi dei dati personali trasferiti dall’Unione, non sia conforme ai principi previsti dal quadro normativo europeo e segnatamente al principio di proporzionalità[4].
Ebbene, tanto premesso, la Commissione Europea nel valutare l’adeguatezza del Regno Unito non potrà non tenere in debita considerazione i principi di diritto sanciti nella citata sentenza: ciò si traduce, dal punto di vista operativo, nel fatto che la Commissione Europea dovrà valutare se i poteri attualmente attribuiti alle autorità britanniche in punto di intercettazione delle comunicazioni e di richiesta di accesso ai dati ai sensi dell’Investigatory Powers Act 2016[5] comportino limitazioni alla protezione dei dati personali, tali da non soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’Unione Europea.
Siffatta legge ha infatti sancito e introdotto nuovi poteri e riaffermato quelli già riconosciuti alle agenzie di intelligence e alle forze dell’ordine britanniche attribuendo il potere di effettuare intercettazioni mirate delle comunicazioni, compresa l’intercettazione e la raccolta di massa delle comunicazioni.
Non solo, a ciò si aggiunga che la Commissione Europea, nello svolgimento della propria valutazione globale sul livello di protezione dei dati personali nel Regno Unito, è altresì chiamata a verificare, ai sensi dell’art. 45, par. 2, lett. a) GDPR, “le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese”. In tale contesto, quindi, dovrà essere tenuta in considerazione anche l’alleanza di intelligence denominata “Five Eyes” che prevede un rilevante scambio di informazioni tra i maggiori paesi anglofoni (Canada, Australia, Nuova Zelanda, Regno Unito e Stati Uniti).
Fermo quanto precede, ove per ragioni temporali o di merito non dovesse essere emanata una decisione di adeguatezza da parte della Commissione Europea nei confronti del Regno Unito, come detto, gli operatori potranno utilizzare uno degli altri meccanismi fissati all’interno del Capo V del GDPR per fondare i trasferimenti di dati personali verso il Regno Unito.
In tale contesto, si intende soffermarsi in questa sede sullo strumento giuridico delle c.d. standard contractual clauses (SCC) adottate con la decisione 2010/87/UE dalla Commissione Europea[6] sui trasferimenti esteri di dati personali.
Come noto, si tratta di uno strumento di tipo negoziale, volto a definire gli obblighi, i diritti e le responsabilità degli “importatori” ed “esportatori” di dati personali, fermo restando che il trasferimento di dati personali verso un paese terzo può avvenire solo a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi ex art. 46, par. 1 GDPR.
Ebbene, ancora una volta, gli operatori che intendano fondare il trasferimento dei dati personali (post brexit) sulle SCC non possono non tenere in debita considerazione i principi di diritto sanciti dalla Corte di Giustizia Europea il 16 luglio scorso nel caso Schrems II.
La Corte di Giustizia, in tale occasione, ha sottolineato che, sebbene non siano emersi elementi idonei ad inficiare la decisione 2010/87/UE, ciò nonostante le SCC non godono di una presunzione tout court di liceità essendo necessario verificare, prima che il trasferimento abbia luogo, se l’ordinamento straniero di destinazione presenti un livello di protezione “sostanzialmente equivalente” a quello offerto nell’Unione.
La Corte ha quindi chiarito che l’utilizzo delle SCC per legittimare un trasferimento di dati personali verso un paese terzo deve essere preceduto da una attenta valutazione sulle caratteristiche del paese di destinazione dei dati e sulla normativa locale tenendo in considerazione i criteri sanciti all’art. 45, par. 2 GDPR.
Ne consegue che, tenendo conto delle indicazioni fornite dalla CJEU, le organizzazioni che intendano trasferire dati personali post brexit verso il Regno Unito sulla base delle SCC saranno chiamate ad effettuare un’assessment al fine di verificare se il diritto britannico garantisca una protezione adeguata alla luce del diritto dell’Unione Europea e, in caso di esito negativo, occorrerà adottare (a livello contrattuale e ove possibile) delle misure supplementari pe garantire tale protezione.
Sul punto, ad oggi, un’indicazione operativa in relazione alle possibili modifiche da apportare alle SCC è stata fornita da un limitatissimo numero di Autorità garanti per la protezione dei dati[7].
In ogni caso, resta fermo e impregiudicato il fatto che ove l’adozione di tale misure supplementari non sia percorribile, il trasferimento di dati personali verso il paese terzo deve essere sospeso o terminato.
Conclusione
A meno di due mesi dal termine del periodo di transizione, la disciplina applicabile ai trasferimenti di dati personali verso il Regno Unito appare quanto mai incerta.
In tale contesto, infatti, nel novero degli strumenti giuridici a disposizione degli operatori per fondare i trasferimenti in parola, in assenza di una decisione di adeguatezza da parte della Commissione Europea, anche l’utilizzo delle SCC pare di incerta applicazione alla luce delle statuizioni della CdG nel caso Schrems II. Pertanto, rec sic stantibus, è richiesto, ancora una volta, alle organizzazioni di effettuare uno sforzo ulteriore – e probabilmente non del tutto giustificato – per individuare delle soluzioni che permettano di sopperire all’attuale assenza di indicazioni circa gli strumenti da adottare per trasferire validamente i dati personali verso il Regno Unito.
[1] https://ec.europa.eu/info/european-union-and-united-kingdom-forging-new-partnership/eu-uk-withdrawal-agreement_it
[2] Sul punto, si vedano, in particolare, le osservazioni della Task Force per le relazioni con il Regno Unito della Commissione Europea che evidenziavano la necessità di avviare quanto prima le attività prodromiche all’adozione di una decisione di adeguatezza: European Commission – Task Force for Relations with the United Kingdom, “Personal data protection (adequacy decisions); Cooperation and equivalence in financial services”, 10 gennaio 2020. Disponibile al sito web:https://ec.europa.eu/commission/sites/beta-political/files/seminar_20200110_-_data_protection_adequacy_-_financial_services_en.pdf.
[3] Corte di giustizia dell’Unione europea, sentenza del 16.07.2020, C-311/18, Data Protection Commissioner/Maximilian Schrems e Facebook Ireland.
[4] Ciò in ragione del fatto che alle autorità pubbliche e di controllo statunitensi è riconosciuto il potere di accedere e trattare i dati personali trasferiti dall’Unione senza limitazioni per ragioni di sorveglianza di cui all’art. 702 FISA e E.O. 1233.
[5] Il testo completo è disponibile al seguente link: https://www.legislation.gov.uk/ukpga/2016/25/contents/enacted
[6] Il testo completo della decisione della commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A32010D0087
[7] Per un approfondimento, si richiamano le linee guida emesse dall’Autorità dello Stato federale tedesco del Baden-Württemberg. Il testo completo in lingua originale è disponibile al seguente link: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf