I DATI SONO UN FATTORE CRUCIALE PER L’ECONOMIA DEL REGNO UNITO

Nel suo primo discorso quale Garante per la Protezione dei Dati Personali (Information Commissioner) per il Regno Unito, Elizabeth Denham, alla fine di settembre, ha dichiarato ad un pubblico composto da imprese attive nel campo dell’economia digitale e dei dati personali: “Vorrei essere molto chiara: sono convinta che la normativa sulla protezione dei dati personali non costituisca un ostacolo al vostro successo …. Non si pone una questione di privacy o innovazione, ma privacy e innovazione.”

Infatti, è opinione diffusa che l’economia così detta “data-driven” (economia propulsa dai dati) sia il motore che continuerà a spingere la crescita del Regno Unito nei prossimi anni. Secondo alcune stime, l’industria della tecnologia digitale contribuisce già con £161 miliardi (€178,9 miliardi) all’economia nazionale. L’economia internet del Regno Unito è la più grande tra quelle delle nazioni del G-20 e rappresenta oltre il 12% del PIL.

NORMATIVA PRIVACY VIGENTE E IL REGOLAMENTO UE

E’ quindi evidente l’importanza per il Regno Unito (“RU”) della normativa che tutela i dati personali, che ha anche origini che precedono quella europea. La prima legge in questa materia, infatti, era il Data Protection Act del 1984, poi sostituito dal Data Protection Act del 1998, che traspose in diritto inglese la Direttiva europea 1995/46.

Gli effetti di Brexit sulle norme in materia di privacy sono quindi di cruciale interesse, sia per gli operatori del RU sia per quelli europei ed extraeuropei con rapporti commerciali o economici il RU.

Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (“Regolamento”), entrato in vigore nel maggio 2016, diventerà direttamente applicabile in tutti gli Stati membri dell’Unione europea) dal 25 maggio 2018. Il Primo Ministro inglese, Theresa May, ha recentemente annunciato che il suo Governo intende notificare al Consiglio europeo la propria intenzione di recedere dall’Unione a sensi dell’art. 50 del Trattato di Lisbona entro il mese di marzo 2017. Conseguentemente, con ogni probabilità, il recesso (Brexit) avrà i suoi effetti a far tempo dal marzo 2019, cioè alla scadenza dei due anni previsti dal Trattato stesso. Pertanto il Regolamento si applicherà anche nel Regno Unito a far tempo dal 25 maggio 2018. Infatti, l’Autorità Garante per la Protezione dei Dati Personali inglese (“ICO”) sta promuovendo con vigore tutte le attività necessarie alle imprese per adeguarsi al Regolamento, convinta delle grandi opportunità create dal suo approccio innovativo alla protezione dei dati personali, volto ad ispirare una maggiore fiducia nel pubblico.

COSA SUCCEDERÀ DOPO BREXIT?

Con ogni probabilità, quando Brexit entrerà in vigore, e a prescindere dalle specifiche tecniche normative/legislative che saranno adottate (vedi post “Le Implicazioni Costituzionali di Brexit dopo il Great Repeal Bill”), il Regolamento verrà incorporato nella normativa nazionale in virtù del Great Repeal Act, preannunciato dal Primo Ministro qualche giorno fa; tale legge avrà per effetto di trasformare in normativa nazionale tutta la legislazione europea direttamente applicabile nel Regno Unito per effetto del European Communities Act del 1972, che verrà simultaneamente abrogato. Quindi, le disposizioni del Regolamento rimarranno verosimilmente in vigore accanto a quelle del Data Protection Act 1998 non abrogate dal Regolamento stesso, fino a quando non saranno eventualmente modificate con interventi legislativi o regolamentari interni successivi.

La sorte di tali norme dipenderà, almeno in parte, dall’accordo che sarà raggiunto tra il Governo del RU e l’Unione in seguito alla richiesta di attivare le procedure di recesso. Qualora venisse negoziato un accordo “morbido” (“soft Brexit”), secondo il quale il Regno Unito continuerebbe a partecipare interamente o parzialmente al mercato interno in contropartita del rispetto di alcune regole fondamentali UE (il così detto “Modello SEE” o il “Modello Svizzero”), sarebbe inevitabile per il RU mantenere in vigore la normativa esistente in materia di protezione dei dati personali, ed in particolare il Regolamento, attraverso appositi strumenti legislativi. Al contrario, nel caso non fosse raggiunto un accordo “morbido” e quindi il RU non rimanesse a far parte del mercato interno UE (“hard Brexit”), semplicemente facendo affidamento su accordi commerciali bilaterali con altri Paesi ed una partecipazione autonoma all’Organizzazione Mondiale del Commercio (OMC) – soluzioni che, comunque, richiederebbero molti anni di trattative – il RU sarebbe libero di modificare le norme sulla tutela dei dati personali, anche discostandosi da quelle europee.

PROTEZIONE DEI DATI PERSONALI IN CASO DI ASSORBIMENTO DI TUTTE LE DISPOSIZIONI DEL REGOLAMENTO NELLA LEGISLAZIONE INTERNA BRITANNICA

Nel caso in cui fosse negoziato un accordo “soft Brexit”, o comunque fosse deciso di mantenere in vigore il Regolamento in ragione dell’opportunità commerciale dell’uniformità con le regole europee e dell’applicazione di norme considerate da molti (ivi compreso l’ICO, vedi sotto) all’avanguardia, vi sarebbero comunque delle conseguenze negative per il RU, come ad esempio

  • l’ICO non farà più parte del Comitato europeo per la protezione dei dati personali, organo che sarà composto dalla figura di vertice dell’autorità di controllo di ciascuno Stato membro e dal Garante europeo (art. 68 del Regolamento), destinato ad avere considerevole influenza sulla applicazione e l’interpretazione del Regolamento e deputato alla risoluzione di controversie e all’implementazione di sistemi di certificazione
  • il Regno Unito non avrà la possibilità di partecipare al meccanismo “one-stop shop”, secondo il quale l’autorità di controllo dello Stato membro in cui ha sede lo stabilimento principale dell’impresa titolare del trattamento è competente ad agire in qualità di autorità di controllo capofila per tutti i trattamenti transfrontalieri effettuati dallo stesso titolare (art. 56 del Regolamento). Quindi, le imprese con sede principale nel Regno Unito che trattano dati personali si vedranno costrette ad interagire con le autorità di controllo di tutti gli Stati membri in cui svolgono le loro attivit�
  • non si applicheranno le norme che rendono legittimo un trattamento di dati personali anche in assenza del consenso della persona interessata, qualora tale trattamento sia necessario per adempiere un obbligo legale o per l’esecuzione di una funzione di interesse pubblico, nel caso in cui tale obbligo o funzione fosse imposto dalla legge del RU (e non dell’Unione o di uno Stato membro) (art. 6 del Regolamento)
  • ai fini del trasferimento dei dati personali da uno Stato membro verso Paesi terzi (artt. 44 – 50 del Regolamento), il RU sarà considerato “Paese terzo” (a meno che non raggiunga un accordo sul Modello SEE). Pertanto, onde consentire il trasferimento di tali dati in maniera lecita, il RU dovrebbe ottenere una decisione della Commissione di “adeguatezza” del livello di protezione dei dati personali garantito dalla propria normativa. Altrimenti, onde consentire la legittimità del trasferimento, le imprese dovranno ricorrere agli altri meccanismi previsti dal Regolamento (clausole contrattuali standard, norme vincolanti d’impresa etc), in assenza di specifiche deroghe (consenso, trattamento necessario per l’esecuzione di un contratto tra l’impresa e la persona interessata ecc.).

Inoltre,

  • le imprese stabilite nel RU dovranno in ogni caso applicare le disposizioni del Regolamento al trattamento di dati personali di persone residenti e domiciliate nell’UE, quando il trattamento riguardasse (a) l’offerta di beni o la prestazione di servizi oppure (b) il monitoraggio del loro comportamento nella misura in cui tale comportamento abbia luogo all’interno dell’Unione (art. 3(1) del Regolamento)
  • le imprese del RU che svolgono attività non meramente occasionali di trattamento nell’UE dovranno designare un rappresentante nell’Unione per tutte le questioni riguardanti il trattamento stesso (art. 27 del Regolamento).

IN CASO DI INCORPORAZIONE SOLO PARZIALE DEL REGOLAMENTO NELLA NORMATIVA DEL RU

Qualora i negoziati con l’Unione dovessero produrre un “hard Brexit”, il Legislatore del RU potrebbe intravedere l’opportunità (soprattutto nel commercio con gli Stati Uniti ed con altri Paesi terzi rilevanti come la Cina) di modificare le disposizioni del Regolamento applicabili nel RU onde renderle più flessibili. In tal caso, in aggiunta agli inconvenienti elencati nel paragrafo precedente, si può ipotizzare una maggiore difficoltà nel conseguire una decisione di adeguatezza da parte della Commissione in caso di trasferimenti di dati dall’UE al RU.

A questo riguardo, la Information Commissioner, nel discorso citato all’inizio di questo post, ha concluso con una chiara indicazione di quale sarà la posizione dell’ICO: “Crediamo che la normativa futura sulla protezione dei dati personali post-Brexit, debba evolversi per garantire un buon livello di stabilità e lanciare sia a chi tratta i dati personali sia al pubblico un chiaro messaggio regolatorio. L’obiettivo non è quello di disporre di un sistema regolatorio attraente in quanto permissivo o “flessibile”. L’obiettivo è di avere un sistema regolatorio avanzato, forte nella propria capacità di resistere ad ogni critica, e che non esponga il Regno Unito ad attacchi da altri Paesi. E che sia coerente con e adeguato per l’Europa.”

Ma, chiaramente, l’ultima parola spetterà al Legislatore.