Dopo mesi e mesi di complicate trattative, quando oramai si temeva che non ci sarebbero stati ulteriori margini per trovare un accordo tra l’Unione Europea e il Regno Unito, quando il “transiction period” era oramai giunto al previsto termine del 31 dicembre 2020 (come nei classici film hollywoodiani dove tuto si risolve all’ultimo minuto), sotto le feste natalizie, si è finalmente giunti al deal, all’agreement, all’accordo di commercio e cooperazione.
Gli aspetti da studiare ed approfondire sono molteplici nei vari settori contemplati, basti pensare che l’accordo è composto da oltre 2000 pagine, ma vorrei soffermarmi sugli aspetti che appaiono particolarmente rilevanti per la protezione dei dati personali e il flusso dei dati.
La “clausola ponte“
Probabilmente la parte più importante dell’accordo nell’immediato è la “bridging clause”, potremo tradurla come “clausola ponte“, che garantirà la piena continuità dei flussi di dati tra Unione Europeo, o meglio tra i paesi dello Spazio Economico Europeo (SEE) e il Regno Unito dall’entrata in vigore dell’accordo e per un periodo massimo di sei mesi, senza necessità per aziende ed enti pubblici di mettere in atto alcuno strumento di trasferimento ai sensi del RGPD o della Direttiva “sorella” sulla tutela dei dati personali usati dalla polizia e dalle autorità di giustizia penale (il cosiddetto Law Enforcement Directive – LED).
Con la bridging clause il Regno Unito di fatto mantiene le norme sulla protezione dei dati applicabili al 31 dicembre 2020 (cioè quelle efficaci durante il “transiction period”) per il periodo massimo di sei mesi entro il quale però di fatto non potrà esercitare i suoi “nuovi” poteri nel campo dei trasferimenti internazionali, in caso contrario (così come se dovesse modificare in modo unilaterale la propria normativa in tema di data protection) sarebbe considerata come Paese terzo.
Ne consegue che il governo britannico non potrà adottare decisioni di adeguatezza. Ricordiamo come nel Regno Unito il RGPD, di fatto, era stato già adottato e permane una diffusa analogia con il Regolamento europeo nella disciplina interna in materia di protezione dei dati, ivi compresa la “decisione di adeguatezza” che il governo britannico potrà adottare per riconoscere, o non riconoscere, come adeguata alla propria normativa interna, la disciplina sulla data protection di altri Paesi.
Per i medesimi motivi nel bridging period le Clausole Contrattuali Standard (SCC) non potranno essere adottate così come non potranno esserci nuove Norme vincolanti d’impresa (BCR) o accordi amministrativi da parte dell’ICO (Information Commissioner’s Office).
Questo “ponte” cesserà automaticamente entro 6 mesi, periodo entro il quale potrà intervenire l’auspicata adozione delle due decisioni di adeguatezza da parte della Commissione dell’UE, quella ai sensi del RGPD e quella ai sensi della LED.
One Stop Shop, cosa cambia?
A ben vedere dal 1° gennaio 2021 però vi è una differenza, non affatto irrilevante, con la situazione del periodo di transizione e si riferisce al meccanismo dello sportello unico, il cosiddetto One Stop Shop.
Tale meccanismo non potrà più applicarsi al Regno Unito e conseguentemente non potranno operare per questo le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue, fissate nei Capi VI e VII del RGPD, che prevedono la nozione di Lead authority “autorità di controllo capofila” cioè l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (autorità interessate) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile.
Pertanto tutte le società che ai sensi del RGPD avevano individuato nel Regno Unito la sede principale della loro società in UE e che pertanto avevano come riferimento l’Autorità di protezione dati britannica perderanno questa opportunità e dovranno organizzarsi, se non già fatto, per creare una sede principale in un altro Paese membro oppure, in assenza di uno stabilimento nella Unione Europea, dovranno indicare un “rappresentante” nel territorio dell’Unione. A ciò si aggiunge che non sarà più possibile la partecipazione al Comitato europeo della protezione dei dati dell’autorità di controllo britannica (ICO).
Concludo sottolineando un aspetto che ritengo veramente innovativo rinvenibile nell’accordo che è dato dalla clausola che prevede che l’accordo commerciale e di cooperazione non potrà in alcun modo pregiudicare la libertà di una parte di stabilire il livello di protezione dei dati personali (comprese le norme sul trasferimento dei dati), il che significa che le norme sulla protezione dei dati non possono essere contestate per motivi commerciali. Si tratta di un precedente molto importante si pensi in particolare ai futuri accordi commerciali che l’UE dovrà concludere con Paesi terzi.
