Il 28 giugno la Commissione Europea ha adottato la decisione di adeguatezza attesa a seguito della Brexit permettendo ora ai dati personali di fluire liberamente dall’Unione Europea al Regno Unito.

Prima della Brexit e durante il periodo transitorio, il quadro legislativo in materia di protezione dei dati personali consisteva nel regolamento (UE) 2016/679 e nella normativa nazionale (in particolare il Data Protection Act 2018). Il Regno Unito ha poi promulgato l’European Union (Withdrawal) Act 2018 che recepisce internamente la legislazione dell’Unione Europea direttamente applicabile. Questo cosiddetto “retained EU law” include il Regolamento (UE) 2016/679 nella sua interezza ma con la possibilità di modificarlo.

La Commissione ha ritenuto che il Regno Unito sia in grado di garantire un livello di protezione sostanzialmente equivalente a quello dell’UE sulla base dei criteri di valutazione stabiliti dall’art. 45 GDPR. Secondo tale disposizione, nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione:

1. lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione  di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;

2. l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri;

3. gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione.

La Commissione ha analizzato attentamente il diritto e la prassi interna esaminando il quadro costituzionale, la legislazione sulla protezione dei dati, l’ambito di applicazione sostanziale e territoriale, la definizione di dati personali, di titolare e responsabile del trattamento, le tutele, le condizioni del consenso e dal trattamento delle categorie particolari di dati, i diritti degli interessati, le restrizioni sui trasferimenti successivi, il principio di accountability e la supervisione sull’applicazione delle norme.

Attraverso l’appartenenza al Consiglio d’Europa, l’adesione alla Convenzione dei diritti dell’uomo e la sottomissione alla giurisdizione della Corte europea dei diritti dell’uomo, il Regno Unito è soggetto a una serie di obblighi internazionali che inquadrano il proprio sistema sulla base di principi, garanzie e diritti individuali simili a quelli garantiti dal diritto dell’UE e applicabili agli Stati membri. L’adesione continua a tali strumenti costituisce quindi un elemento particolarmente importante della valutazione su cui si basa la decisione.

A norma dell’articolo 45, paragrafo 4, del regolamento (UE) 2016/679, la Commissione controllerà gli sviluppi rilevanti al fine di valutare il mantenimento del livello di protezione sostanzialmente equivalente.

Per facilitare tale monitoraggio, le autorità interne dovranno informare tempestivamente la Commissione di qualsiasi modifica sostanziale dell’ordinamento giuridico che abbia un impatto sul quadro oggetto della  decisione.

La decisione di adeguatezza include una cosiddetta “clausola di decadenza”, che ne limita rigorosamente la durata. Ciò significa che la decisione scadrà automaticamente quattro anni dopo l’entrata in vigore e dunque il 27 giugno 2025. Dopo tale periodo, le risultanze di adeguatezza saranno rinnovate solo se il Regno Unito continuerà a garantire un livello adeguato di protezione dei dati.