In data 23 maggio 2018 il Governo britannico ha pubblicato un documento che illustra la proposta per un quadro normativo di continuità che garantisca la libera circolazione di dati personali tra il Regno Unito e l’Unione Europea dopo la Brexit.
Il flusso ininterrotto e sicuro di dati personali tra l’Unione e lo Stato uscente è, infatti, di vitale importanza per entrambe le parti. Qualora a seguito della Brexit i flussi dovessero interrompersi, ciò potrebbe influenzare le attività delle imprese, sia europee che britanniche, con il rischio di costi supplementari: ad esempio, un’impresa tedesca che utilizza un fornitore di servizi cloudbritannico per la gestione dei propri dati contabili dovrebbe trovare una soluzione alternativa; ciò potrebbe richiedere tempo e comportare costi imprevisti anche rilevanti. Inoltre, lo scambio di dati è necessario per garantire la sicurezza dei cittadini, in quanto consente la cooperazione tra le Autorità giudiziarie e la lotta alle forme gravi di criminalità, al riciclaggio e al terrorismo.
Il Regno Unito afferma che il regime britannico sulla protezione dei dati sarà allineato alla normativa europea. La Legge sulla protezione dei dati del 2018 (Data Protection Act 2018), che ha ricevuto l’assenso reale il 23 maggio 2018 dopo quasi un anno di dibattiti e consultazioni, traspone infatti la Direttiva (UE) 2016/680relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle Autorità a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, ed estende altresì l’ambito di applicazione del Regolamento (UE) 2016/679relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, conosciuto come Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR).
Nel documento, il Governo britannico ha proposto un modello per la condivisione dei dati post-Brexit che riflette le particolarità delle relazioni tra Regno Unito e Unione Europea e si pone come alternativo al cosiddetto “approccio di adeguatezza” in base al quale la Commissione può formalmente riconoscere che un Paese terzo possiede standarddi protezione dei dati equivalenti a quelli applicati nell’Unione. Secondo il Regno Unito, tale approccio non consentirebbe alle Autorità nazionali responsabili per la protezione dei dati di cooperare in maniera efficace.
In particolare, il modello proposto consiste in un accordo specifico che prevede che l’Autorità britannica per la protezione dei dati (Information Commissioner’s Office, ICO) abbia un ruolo “adeguato” all’interno del Comitato europeo per la protezione dei dati, istituito dal GDPR, garantendo che le imprese e i consumatori del Regno Unito siano efficacemente rappresentati nell’ambito del meccanismo di sportello unico (one-stop-shop mechanism) per la risoluzione delle controversie in materia di protezione dei dati. Nella proposta, infatti, viene evidenziato il ruolo importante svolto dall’ICO nell’elaborazione e nello sviluppo delle politiche europee in materia di protezione dei dati. Secondo il Regno Unito, la continuità del coinvolgimento dell’ICO andrà a vantaggio delle imprese e dei consumatori, sia britannici che europei.
Per il Governo britannico, l’accordo delineato costituisce un “approccio pragmatico” al tema della condivisione dei dati che riflette gli interessi condivisi del Regno Unito e dell’Unione e garantisce, al tempo stesso, standardelevati di protezione dei dati ed il loro flusso continuo e ininterrotto.
Davide Scavuzzo
