06 Ott Pubblicata la proposta di implementazione del GDPR nel Regno Unito

Background

Il 25 maggio 2018 il Regolamento Generale sulla Protezione dei Dati (d’ora in avanti, “Regolamento”) diventerà definitivamente applicabile in via diretta in tutti i 28 Stati membri.

Il governo del Regno Unito, preparandosi per la Brexit, il 14 settembre 2017 ha annunciato la pubblicazione della Data Protection Bill (d’ora in avanti, “Carta”) che andrà definitivamente a sostituire il Data Protection Act 1998.

La Carta mira a fornire al Regno Unito, in materia di protezione dei dati personali, un quadro giuridico sostanzialmente equivalente a quello europeo, anche (e soprattutto) in una fase successiva alla Brexit. L’implementazione di tale normativa è necessaria al governo del Regno Unito per assicurare agli interessati il medesimo livello di protezione di cui godrebbero qualora i dati fossero rimasti all’interno dell’UE, anche al fine di ottenere una decisione di adeguatezza dalla Commissione Europea.

Benché la Carta mantenga sostanzialmente l’impostazione del Regolamento, introduce alcuni elementi che precisano o modificano la normativa europea.

Contesto giuridico e principali questioni

La Carta, pur recependo i principali aspetti del Regolamento, ha stabilito alcune novità al fine di modellare lo standard europeo alle esigenze del Regno Unito.

Tra le varie modifiche adottate dal governo inglese sono da annoverare tra le più interessanti:

• le sezioni da 2 a 4 della Carta che introducono deroghe alle regole del Regolamento in specifici ambiti (ad esempio, criminalità e tassazione, esecuzione di funzioni di organismi di regolamentazione o di ricerca, tattamenti per finalità storiche o statistiche ecc.);
• la sezione 8 della Carta, che permette ai bambini a partire dai 13 anni di prestare il consenso al trattamento dei propri dati personali senza l’obbligo del titolare di ottenere il consenso o l’autorizzazione dei genitori (13 anni è l’età minima consentita dal Regolamento per la liceità del consenso, qualora i singoli Stati intendano ridurla rispetto ai 16 anni stabiliti dall’articolo 8);
• la sezione 162 che introduce una nuova fattispecie di reato applicabile nel caso in cui un’impresa re-identifichi, colposamente o con dolo, dati personali “de-identificati” (espressione non codificata dal Regolamento) senza aver ottenuto il consenso del titolare del trattamento responsabile della “de-identificazione”. Dalle note esplicative si evince che tale disposizione è finalizzata ad evitare la re-identificazione di alcune categorie di dati personali, come per esempio i dati relativi alla salute, ma potrebbe essere estesa ad altri campi quali la re-identificazione dei dati raccolti tramite analisi.

Al fine di rendere effettivo il rispetto della normativa la Carta attribuisce ulteriori poteri al garante inglese (l’Information Commissioner’s Office, d’ora in avanti “ICO”). La Carta, infatti, nel caso in cui si verifichi una violazione dei dati, consente all’ICO di irrogare sanzioni amministrative fino a 17 milioni di sterline (20 milioni di euro) o al 4% del fatturato globale.

Implicazioni pratiche

I flussi di dati personali da e verso paesi al di fuori dell’Unione sono necessari per l’espansione del commercio internazionale.

La discussione della Carta alla Camera dei Lords rappresenta solo il primo passo della riforma britannica in materia di protezione dei dati personali.

L’obiettivo della Carta è quello di garantire che i flussi di dati continuino tra il Regno Unito e l’UE dopo la Brexit e ciò potrà avvenire soltanto qualora il livello di protezione dei dati garantito dal Regolamento non venga pregiudicato. Infatti, la Commissione può decidere che un paese terzo che offre un livello adeguato di protezione ottenga la cd. “decisione di adeguatezza”. Una tale decisione comporterebbe la libera circolazione dei dati tra i paesi dell’UE e del EEA (Norvegia, Liechtenstein e Islanda) da e verso un paese terzo (come il Regno Unito dopo la Brexit) senza la necessità di ulteriori tutele.

Data la quasi totale sovrapposizione tra la Carta e la normativa europea, paiono esserci le premesse affinché tale decisione possa essere emessa nel futuro.

Continueremo a monitorare l’ulteriore sviluppo del processo legislativo, disponibile anche qui.