Bruxelles – Sono state adottate oggi (lunedì 28 giugno) dalla Commissione Europea le decisioni di adeguatezza per la libera circolazione di dati con il Regno Unito, in seguito a un processo di valutazione degli standard britannici per la tutela della privacy durata quattro mesi. Le due decisioni, una ai sensi del regolamento generale sulla protezione dei dati (GDPR) e l’altra per la direttiva sull’applicazione della legge (LED), garantiranno flussi liberi di dati personali tra le due sponde della Manica.
Con l’approvazione dell’accordo UE sulla libera circolazione dei dati tra Bruxelles e Londra sarà facilitata la “corretta attuazione” dell’Accordo commerciale e di cooperazione UE-Regno Unito (TCA), come viene sottolineato in una nota dell’esecutivo UE. Ma allo stesso tempo sono incluse “forti garanzie in caso di divergenza futura”, come la clausola di decadenza che limita la durata della decisione di adeguatezza a quattro anni. In virtù di questa clausola, la Commissione continuerà a monitorare la situazione giuridica nel Regno Unito e “potrebbe intervenire in qualsiasi momento“, se Londra si discosterà dal livello di protezione attualmente in vigore.
L’adozione preliminare delle due decisioni era arrivata il 19 febbraio scorso, quando il gabinetto von der Leyen aveva presentato la sua valutazione del livello di protezione dei dati da parte del Regno Unito “sostanzialmente equivalente” a quello del GDPR. La bozza era stata poi analizzata prima dal Comitato europeo per la protezione dei dati (EDPB), che aveva dato il via libera con riserva, e in seguito da un comitato composto dai rappresentanti dei Paesi membri. Nelle decisioni pubblicate oggi viene precisato che il sistema britannico “continua a essere basato sulle stesse regole applicate quando il Regno Unito era uno Stato membro dell’UE” e che Londra ha “pienamente incorporato i principi, i diritti e gli obblighi del GDPR e della direttiva sull’applicazione della legge nel proprio sistema giuridico post-Brexit”.
Per quanto riguarda i chiarimenti richiesti dall’EDPB, la Commissione Europea ha precisato che “per motivi di sicurezza nazionale, il sistema del Regno Unito prevede solide garanzie“. In particolare, “la raccolta di dati da parte delle autorità di intelligence è soggetta alla preventiva autorizzazione di un organo giudiziario indipendente” e che “chiunque ritenga di essere stato oggetto di sorveglianza illecita può rimettersi all’Investigatory Powers Tribunal“. Inoltre, il Regno Unito è soggetto alla giurisdizione della Corte europea dei diritti dell’uomo e alla Convenzione del Consiglio d’Europa per la protezione delle persone rispetto al trattamento automatizzato dei dati personali“, l’unico trattato internazionale vincolante in materia di privacy.
Per il momento i trasferimenti di dati ai fini del controllo dell’immigrazione nel Regno Unito sono esclusi dall’ambito delle decisioni di adeguatezza, in attesa della valutazione interna di una recente sentenza della Corte d’appello di Inghilterra e Galles su alcune restrizioni del diritto di privacy in questo ambito. “La Commissione valuterà nuovamente la necessità di tale esclusione una volta che la situazione sarà stata risolta ai sensi del diritto britannico”, specifica la nota.