Il trasferimento di dati personali alla luce dell’accordo di commercio e cooperazione tra UE e UK

Tratto da “Il Quotidiano Giuridico”, il quotidiano di informazione giuridica del gruppo Wolters Kluwer Italia e curato da Cedam, Utet Giuridica, Leggi d’Italia e Ipsoa.

L’accordo di cooperazione commerciale siglato il 24.12.2020 tra Unione Europea e Regno Unito comprende una sezione dedicata alla data protection in cui trovano spazio rilevanti disposizioni transitorie sul trasferimento di dati. Tali disposizioni devono essere valutate in combinazione con il quadro normativo europeo di riferimento e la giurisprudenza della Corte di Giustizia dell’Unione Europea nella recente pronuncia sul caso cd. Schrems II.

Cosa prevede l’Accordo in materia di protezione dati
Le Parti 6 e 7 dell’Accordo stabiliscono importanti disposizioni in materia data protection.

Innanzitutto, l’UE e il Regno Unito dichiarano di impegnarsi reciprocamente a mantenere standard elevati di protezione dei dati.
Con riferimento al delicato tema del trasferimento di dati personali, a partire dal 1° gennaio 2021 è previsto un periodo provvisorio fino a 6 mesi (il periodo predefinito è di 4 mesi e sarà automaticamente prorogato di altri due mesi se necessario, a meno che il Regno Unito o l’UE non si oppongano unilateralmente) in cui i trasferimenti di dati personali dallo SEE verso il Regno Unito saranno liberi, in quanto il Regno Unito non viene considerato un “paese terzo” ai sensi del diritto dell’UE. Ciò significa che ai trasferimenti de quo non si applicheranno le restrizioni al trasferimento di dati personali ai sensi del Capitolo V del Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”).

Questo è un aspetto importante che evita alle aziende e altre organizzazioni la necessità di adoperarsi in fretta e furia per predisporre la documentazione idonea a giustificare la legittimità del trasferimento dati.
Tuttavia, l’UE ha posto a carico del Regno Unito due condizioni per l’applicazione di questo grace period:

(i) divieto di modificare le leggi sulla protezione dei dati rispetto al quadro normativo vigente al 31 dicembre 2020 (fatta eccezione per esigenze di allineamento con la normativa UE);

(ii) divieto di esercitare taluni “poteri designati” [“poteri designati” che il Regno Unito deve esercitare solo con il consenso dell’UE durante il periodo provvisorio includono [sul punto cfr. Parte VII, art. FINPROV)] relativi ai trasferimenti internazionali senza l’accordo dell’UE, tra cui ad esempio il potere per l’Autorità Garante per la Protezione dei Dati inglese (ICO) di pubblicare clausole contrattuali standard per i trasferimenti internazionali di dati personali dal Regno Unito e di approvare nuovi codici di condotta e meccanismi di certificazione o norme vincolanti d’impresa su cui si può fare affidamento per effettuare trasferimenti internazionali di dati personali.

Il mancato rispetto anche di una sola di tali condizioni comporterebbe la cessazione automatica del periodo provvisorio.

La previsione di tali condizioni va interpretata come la garanzia richiesta dall’UE per evitare che il Regno Unito diventi la porta di accesso per i trasferimenti di dati personali verso paesi terzi.

L’articolo integrale è pubblicato ne “Il Quotidiano Giuridico”