Decisione di adeguatezza per il Regno Unito ai sensi dell’articolo 45 del GDPR. È questo infine il verdetto (abbastanza scontato invero) dei sei mesi intercorsi tra l’entrata in piena operatività della Brexit e la fine di giugno.
Tutto a posto quindi?
Nell’immediato sì. I dati personali dei cittadini europei potranno essere spostati verso Albione senza alcun problema, restrizione o documentazioni supplementari. Niente Standard Contractual Clauses quindi. Niente problemi derivanti dalla Sentenza Schrems II. Lo UK è in White List. Sì ok, sul sito del Garante ancora non è stata aggiornata la lista in effetti. Tuttavia, come possiamo leggere dal documento ufficiale è realtà.
Sebbene le conclusioni del documento siano molto chiare (le riportiamo per completezza), faremo circa la decisione un discorso che investe un aspetto tecnico e uno (ahinoi) politico.
Aspetto tecnico
Vediamo intanto cosa afferma la decisione di adeguatezza della Commissione
FINAL CONSIDERATIONS
(291) The European Data Protection Board published its opinion509, which has been taken into consideration in the preparation of this Decision.
(292) The measures provided for in this Decision are in accordance with the opinion of the Committee established under Article 93 of Regulation (EU) 2016/679,
HAS ADOPTED THIS DECISION:
Article 1
- For the purposes of Article 45 of Regulation (EU) 2016/679, the United Kingdom ensures an adequate level of protection for personal data transferred within the scope of Regulation (EU) 2016/679 from the European Union to the United Kingdom.
- This decision does not cover personal data that is transferred for purposes of United Kingdom immigration control or that otherwise falls within the scope of the exemption from certain data subject rights for purposes of the maintenance of effective immigration control pursuant to paragraph 4(1) of Schedule 2 to the DPA 2018.
In sostanza, l’articolo 23 paragrafo 1 del Data Protection Act 2018 (il GDPR britannico per intenderci) prevede che
Il Segretario di Stato può, mediante regolamento, prevedere, in relazione al trattamento dei dati personali ai quali si applica il presente Capo, disposizioni equivalenti a quelle previste dai regolamenti GDPR, fatte salve le modifiche che ritenga opportune.
In sostanza, il segretario di stato può intervenire sulle materie previste dallo Schedule 2 paragrafo 4 (1), che appunto parla di immigrazione. Tasto a dir poco dolente in questa situazione.
Quindi facciamo una prima considerazione. La decisione di adeguatezza ai sensi dell’articolo 45 è stata presa con alcune precise eccezioni che erano state ben evidenziate come potenziali criticità già nel documento di assessment di cui avevamo parlato a maggio scorso.
La Commissione ha individuato in quelle criticità una modalità non in linea con i principi alla base del trattamento dei dati che vigono in Europa.
Cosa sta dietro queste criticità. Aspetto politico
È di tutta evidenza che dietro le problematiche messe in luce dall’Unione stiano precise scelte politiche. Scelte che stiamo evidenziando da alcuni mesi e che trapelano da dichiarazioni pubbliche di membri del governo, da endorsement a scelte tecnologiche (contestate a torto o a ragione non è qualcosa che qui sia rilevante) come lo CSAM di Apple.
Insomma, non c’è niente di ancora tangibile tranne la gestione dei flussi migratori.
Tuttavia, anche dalla lettura del documento di analisi che l’EDPB aveva prodotto a maggio scorso emergeva una tendenza delle autorità britanniche a deviare verso la strada americana, piuttosto che restare su quella europea. Il Regno Unito prevede di prendere decisioni indipendenti sull’adeguatezza delle procedure di data transfer (e della relativa sicurezza dei dati) con i suoi partner internazionali, con l’obiettivo di fornire meccanismi alternativi di trasferimento dei dati e di rimuovere le barriere per i flussi di dati internazionali. (Fonte IAPP).
In doing so we want to shape global thinking and promote the benefits of secure international exchange of data. This will be integral to global recovery and future growth and prosperity,”
parola del Segretario di Stato per il Digitale, la Cultura, i Media e lo Sport del Regno Unito, Oliver Dowden, e del Ministro per i Media e i Dati, John Whittingdale
Sono certamente dichiarazioni che lasciano intuire quantomeno una tendenza, un’idea di come lo UK intenda (ad oggi ovvio) il trasferimento dei dati verso paesi Terzi.
Concludendo, cosa accadrà?
Il meccanismo di funzionamento dell’articolo 45 del GDPR prevede che vengano tenuti sotto costante controllo
- il rispetto degli impegni internazionali assunti dal paese terzo;
- lo sviluppo interno delle sue norme sulla Data Protection (onde evitare derive americane);
- prassi ed effettiva applicazione del tutto;
- verifica ogni quattro anni della Commissione.
Pertanto, se in questi quattro anni i britannici prendessero strade troppo differenti dalle nostre se ne dovrà riparlare nel giugno 2025. E considerato che la Corte di Giustizia ha sbattuto la porta in faccia agli Stati Uniti d’America…
