La Commissione ha adottato, nei giorni scorsi, due decisioni di adeguatezza per il Regno Unito, una ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e l’altra per l’applicazione della legge. I dati personali possono ora fluire liberamente dall’Unione europea al Regno Unito, dove beneficiano di un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’UE. Le decisioni di adeguatezza facilitano, inoltre, la corretta attuazione dell’Accordo commerciale e di cooperazione UE-Regno Unito, che prevede lo scambio di informazioni personali come potrebbe accadere nel caso di cooperazione giudiziaria. Le decisioni di adeguatezza includono forti garanzie in caso di divergenza futura, prevedono, infatti, la “clausola di decadenza“, che limita la durata dell’adeguatezza a quattro anni.

Elementi chiave delle decisioni di adeguatezza

Il sistema di protezione dei dati del Regno Unito continua ad essere basato sulle stesse regole che erano applicabili quando il Regno Unito era uno Stato membro dell’UE. Il Regno Unito ha completamente incorporato i principi, i diritti e gli obblighi del GDPR nel proprio sistema giuridico anche post-Brexit.

L’accesso ai dati personali da parte delle autorità pubbliche nel Regno Unito, per motivi di sicurezza nazionale, prevede solide e concrete garanzie. In particolare, la raccolta di dati da parte delle autorità di intelligence è subordinata alla preventiva autorizzazione di un organo giudiziario indipendente. Qualsiasi misura deve essere necessaria e proporzionata. Chiunque ritenga di essere stato oggetto di sorveglianza illecita può agire in giudizio dinanzi a Investigatory Powers Tribunal.

Per la prima volta, le decisioni di adeguatezza includono una cosiddetta “clausola di decadenza”, che ne limita rigorosamente la durata. Ciò significa che le decisioni scadranno automaticamente quattro anni dopo la loro entrata in vigore. Dopo tale periodo, le risultanze di adeguatezza potrebbero essere rinnovate, solo se il Regno Unito continuerà a garantire un livello adeguato di protezione dei dati.

Nel corso di questi quattro anni, la Commissione continuerà a monitorare la situazione giuridica nel Regno Unito e potrebbe intervenire in qualsiasi momento, ove ci fosse un discostamento dal livello di protezione dei dati attualmente in vigore.

Infine, i trasferimenti ai fini del controllo dell’immigrazione nel Regno Unito sono esclusi dall’ambito della decisione di adeguatezza adottata ai sensi del GDPR.

A tal proposito, vi è una recente sentenza della Corte d’Appello di Inghilterra e Galles proprio sulla validità e interpretazione di alcune restrizioni dei diritti di protezione dei dati; sarà poi la Commissione a dover valutare la reale necessità di tale esclusione.

Conclusioni

Sicuramente un gran passo avanti verso il completo e costante adeguamento in materia di protezione dei dati personali in linea con il GDPR di Paesi extra UE. In una prospettiva futura ci si augura che un’ attenzione siffatta alla tutela del dato personale diventi sempre più totalizzante.