In data 19 febbraio 2021, la Commissione ha avviato l’iter di adozione di due decisioni di adeguatezza per i trasferimenti di dati personali verso il Regno Unito, una[1] ai sensi del Regolamento (UE) 2016/679 sulla protezione dei dati (General Data Protection Regulation, GDPR)[2] e l'altra[3] ai sensi della Direttiva (UE) 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie (Law Enforcement Directive, LED)[4]

Con l’uscita dall’Unione in data 31 dicembre 2020, il Regno Unito è ora a tutti gli effetti un Paese terzo, di talché i trasferimenti di dati personali sono soggetti a determinate condizioni. Più particolarmente, ai sensi del GDPR il trasferimento di dati personali verso un Paese terzo è ammesso a patto che la Commissione ritenga quest’ultimo in grado di garantire un livello di protezione adeguato[5], ossia sostanzialmente equivalente a quello offerto nell’Unione. Qualora ciò non si verifichi, il titolare o il responsabile del trattamento potranno trasferire dati personali verso il Paese interessato solo se siano state fornite garanzie adeguate[6] quali, ad esempio le clausole contrattuali di protezione standard (Standard Contractual Clauses, SCC)[7] oppure nei casi previsti dall’articolo 49 GDPR[8]. Del pari, anche la LED subordina il trasferimento di dati personali verso un Paese terzo ad una decisione di adeguatezza della Commissione[9] o, in alternativa, alla predisposizione di garanzie adeguate per la loro protezione[10] o alle condizioni di cui all’articolo 38[11].

Attualmente, nessuna delle suddette discipline trova applicazione nei confronti dei trasferimenti di dati personali dall’Unione al Regno Unito. Infatti, secondo quanto stabilito dal nuovo Accordo sugli scambi e la cooperazione (Trade and Cooperation Agreement, TAC) stipulato in data 24 dicembre 2020[12] ed in vigore dal 1o gennaio 2021, la trasmissione di dati personali dall'Unione al Regno Unito non è considerata trasferimento verso un Paese terzo ai sensi del diritto europeo, ed avviene senza alcuna restrizione per un periodo transitorio che terminerà qualora la Commissione avrà adottato decisioni di adeguatezza in relazione al Regno Unito, oppure quattro mesi dopo il suo inizio (con proroga di ulteriori due mesi, a meno che una delle parti non vi si opponga), qualunque di tali eventi si verifichi per primo, ed a condizione che il Regno Unito non apporti modifiche sostanziali alle proprie norme nazionali in materia[13]. I flussi di dati in senso inverso, invece, saranno disciplinati dalla legislazione britannica[14] in vigore a partire dal 1° gennaio 2021, in quanto il Regno Unito ha già concluso che l'Unione garantisce un livello adeguato di protezione.

Nonostante le due decisioni rappresentino le prime del loro genere dopo la c.d. “sentenza Schrems II”[15], si tratta di uno strumento più volte adoperato in passato dalla Commissione che, finora, ha riconosciuto che 12 Paesi terzi[16] offrono un livello di protezione adeguato.

Più particolarmente, nel caso del Regno Unito la Commissione ha ritenuto che il c.d. "UK GDPR"[17] e la normativa britannica in materia di protezione dei dati del 2018[18] garantiscono un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione dal GDPR e dalla LED, in quanto prevedono, tra le altre cose, garanzie, diritti individuali, specifici obblighi per i titolari ed i responsabili del trattamento, norme in materia di trasferimenti internazionali e mezzi di ricorso analoghi. Secondo la Commissione, inoltre, i meccanismi di controllo e di tutela giurisdizionale attualmente in vigore nel Regno Unito, considerati nel loro insieme, consentono di individuare e reprimere efficacemente le violazioni delle norme in materia di protezione dei dati personali, ed offrono all'interessato diversi strumenti per ottenere l'accesso ai propri dati ed, eventualmente, la loro rettifica o cancellazione. La Commissione, infine, ritiene che le eventuali interferenze con i diritti fondamentali dei cittadini i cui dati personali siano trasferiti dall'Unione al Regno Unito, da parte delle autorità pubbliche britanniche per finalità di interesse pubblico o sicurezza nazionale, saranno limitate a quanto necessario e proporzionato rispetto all'obiettivo perseguito. Poiché il Regno Unito ha aderito al Consiglio d'Europa, alla Convenzione europea dei diritti dell'uomo (CEDU) e alla giurisdizione della Corte europea dei diritti dell'uomo, infatti, la normativa nazionale in materia di accesso governativo ai dati personali si fonda su una serie di principi, obblighi e garanzie simili a quelli applicabili agli Stati Membri dell’Unione.

Conformemente alla procedura c.d. di comitatologia[19], i due progetti di decisione dovranno ora ottenere il parere del Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB)[20] nonché il via libera di un comitato composto dai rappresentanti degli Stati Membri. Dopodiché, le due decisioni potranno essere ufficialmente adottate dalla Commissione ed entrare in vigore per un primo periodo di quattro anni, trascorsi i quali l'accertamento di adeguatezza sarà rinnovabile, se il livello di protezione dei dati personali nel Regno Unito continuerà ad essere adeguato.