Uk e adeguatezza al GDPR, il punto della situazione è d’obbligo.

Chi pensava che il passaggio in White List del Regno Unito fosse scontato per il fatto che fino a pochi mesi addietro era un membro dell’Unione Europea, deve scontrarsi (piaccia o meno) con le osservazioni mosse dallo European Data Protection Board nel documento “Opinion 14/2021 regarding the European Commission Drafti Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate Protection of personal data in the United Kingdom” adottato il 13 aprile 2021.

In questo articolo riprenderemo sinteticamente i punti che il Board ha sottoposto all’attenzione della Commissione Europea. Per l’approfondimento di ciascuno di essi rimandiamo alla lettura del lungo documento.

Ma a che punto siamo rimasti?

Prima di addentrarci nell’analisi dell’Opinion, facciamo un veloce riassunto delle puntate precedenti.

Dove eravamo rimasti? Di fatto il Regno Unito non fa più parte dell’UE da gennaio, tuttavia ha preso impegni nell’accordo di dicembre 2020, per continuare a usare il GDPR almeno fino al 30 giugno 2021. Vi erano, pertanto, sei mesi per mettere in piedi una valutazione dell’adeguatezza dell’Inghilterra. L’Unione non ha posto tempo in mezzo e la Commissione ha rilasciato una bozza  relativa alla decisione di adeguatezza ai sensi dell’articolo 45 del GDPR. Tutto facile dunque? Cerchiamo di comprenderlo.

Cosa è successo

La Commissione ha iniziato le procedure per l’adozione formale della “bozza” di decisione di adeguatezza, chiedendo contestualmente all’EDPB un’Opinion. L’EDPB ha eseguito una valutazione sulla base della bozza stessa, focalizzandosi sia sugli aspetti generali del GDPR che sull’accesso ai dati personali da parte delle Autorità Pubbliche. Qualora qualcuno ancora nutrisse dubbi questa è la prova che la sentenza Schrems II costituirà per il prossimi anni il fulcro del trasferimento dei dati extra UE. Altro aspetto valutato dall’EDPB è se l’insieme normativo britannico sia applicato in pratica ed efficace.

Aree di convergenza

L’EDPB non si attende da parte del Regno Unito una replica as is del GDPR, ma fa chiaramente notare che l’articolo 45 richiede che la legislazione del paese terzo sia allineata con i principi espressi nel GDPR. I punti di convergenza:

  • il framework legale britannico è in larga misura basato sul GDPR;
  • il Data Protection Act 2018 rende chiara l’applicazione del GDPR in UK;
  • la presenza di un’Autorità di Controllo quale l’ICO (Information Commissioner’s Office);
  • la gestione del trasferimento dei dati personali verso paesi terzi fino a poco fa è stata essenzialmente equivalente a quella dell’EU.

Le sfide

Nonostante questo punto di partenza estremamente positivo, l’EDPB individua alcuni punti che rappresentano una reale sfida nel processo di adeguamento che a suo giudizio necessitano di uno sguardo più attento e un’analisi dei dettagli quanto più dettagliata.

  1. la prima consiste nel monitorare costantemente da parte delle autorità europee l’evoluzione del sistema di gestione dei dati personali britannico. Ciò in quanto il Regno Unito ha apertamente dichiarato di voler seguire politiche separate e indipendenti nel campo della Data Protection. Da questa posizione potrebbero in futuro sorgere divergenze e rischi per la sicurezza dei dati dei cittadini europei;
  2. la cosiddetta “esenzione dell’immigrazione“, una particolare situazione in cui le autorità britanniche potrebbero trovarsi a passare a stati terzi dati personali di cittadini europei. Su questo passaggio si chiede alla Commissione di indagare relativamente eventuali altre misure a salvaguardia delle persone fisiche;
  3. l’EDPB ha individuato nel sistema legale inglese alcuni aspetti relativi al trasferimento dei dati verso paesi terzi che potrebbero costituire un pericolo per il livello di protezione secondo lo standard previsto per il territorio dell’Unione. Viene apertamente richiamato che la legislazione pur non dovendo essere identica deve essere equivalente a quella europea attivando gli stessi diritti. Inutile girarci attorno, qui le autorità UE stanno parlando egli scambi UK-USA in prima istanza;
  4. in riferimento agli accordi internazionali presi dal Regno Unito con altri paesi extra EU, la Commissione è invitata a indagare meglio in particolare il UK-US Cloud Act (3 ottobre 2019);
  5. la sentenza C-311/18 si impone qui come come caposaldo di queste investigazioni casomai qualcuno ancora nutrisse dubbi sulla sua centralità;
  6. si richiama l’assenza nel sistema legale inglese di protezioni quali quelle previste dall’articolo 48 del GDPR. Vale a dire l’impossibilità di passaggio alle autorità giurisdizionali di un paese terzo dei dati di un cittadino europeo in assenza di appositi accordi internazionali.
  7. l’EDPB evidenzia come vi siano alcuni mutamenti nella gestione delle attività di intelligence che richiedono ulteriori approfondimenti;
  8. preoccupazione viene espressa per il UK-US Communication Intelligence Agreement che rischia di porre la Gran Bretagna nelle stesse identiche condizioni in cui ora si trovano gli Stati Uniti.

Conclusioni

Quindi, UK e adeguatezza al GDPR, il punto della situazione, non è semplicemente un titolo a effetto. A fronte di un numero importante di motivi per guardare con ottimismo al processo di adeguatezza ai sensi dell’articolo 45, dubbi permangono. Dubbi importanti, relativi innanzitutto alla Sentenza della Corte di Giustizia Europea Schrems II.

L’opinione rilasciata dall’EDPB è un esempio molto intrigante delle modalità di analisi dell’Unione. Posso dire che le note del documento sono una vera miniera d’oro di link, suggerimenti utili, informazioni varie. Sicuramente un documento complesso del quale non ci resta che attendere in modo da poter concludere che Uk e adeguatezza al GDPR siano un capitolo chiuso.

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.