Articoli

01/09/2016
Privacy & IT Compliance
BREXIT BRIEFING: Quali effetti per la disciplina di protezione e libera circolazione dei dati personali post-Brexit e in vista della piena entrata in vigore del nuovo Regolamento Privacy Europeo?

Il 23 giugno 2016, al termine di un voto referendario senza precedenti nella storia contemporanea, il popolo del Regno Unito si è espresso a favore dell’uscita del proprio Paese dall’Unione Europea, dando così inizio ad una fase di rinegoziazione – da una prospettiva unilaterale – dei trattati che diventerà la chiave per capire cosa ne sarà dei rapporti tra Unione Europea e Gran Bretagna e quale sarà il futuro ruolo dell’UK nello scenario economico e politico europeo e mondiale.

 

Nel frattempo, sebbene gli effetti del voto referendario siano ancora difficili da prevedere, l’impatto di un tale cambiamento sulla vita quotidiana di milioni di individui, imprese e pubbliche amministrazioni comporterà un profondo ripensamento delle fondamenta sulle quali, fino ad oggi, si è basato l’ordinamento giuridico europeo. In tal senso, scopo del presente Memo è quello di considerare quali potrebbero essere gli effetti del post-Brexit sulla vigente legislazione privacy, nonché le sue conseguenze relativamente all’entrata in vigore del nuovo Regolamento Generale sulla protezione e libera circolazione dei dati personali e più in generale i suoi impatti sul mondo di Internet e sul digitale.

 

In particolare, il focus principale del Memo prenderà in considerazione: (i) le conseguenze soggettive, anche con riferimento al futuro ruolo dell’Information Commissioner’s Office (ICO) nello scenario post-Brexit; (ii) le conseguenze oggettive, anche in merito al possibile impatto dell’esclusione del Regno Unito dal meccanismo di allocazione della competenza denominato One-Stop-Shop; e (iii) le eventuali differenze che si verranno a creare tra il regime sanzionatorio imposto dal Regolamento e quello legato alla normativa UK.

 

 

  • Le conseguenze soggettive

 

Il trattamento dei dati personali in Gran Bretagna è oggi regolato dal Data Protection Act del 1998, che ha implementato la Direttiva 95/46/CE insieme a una serie di provvedimenti successivi strumentali al rafforzamento del quadro legislativo nazionale in materia di protezione e libera circolazione dei dati personali.

 

Nonostante l’attuale scenario, sembra ragionevole affermare che il portato normativo e giurisprudenziale inglese in materia di privacy e data protection, generato innanzitutto a partire dalle dinamiche instaurate grazie all’applicazione dei trattati fondativi UE nell’ordinamento interno, non verrà spazzato via dal “colpo di spugna” del voto sulla Brexit. Almeno non nell’immediato. Come dichiarato dalla stessa ICO, infatti, tale assetto regolamentare è destinato a rimanere in vigore almeno fino al termine del periodo di rinegoziazione dello status del Regno Unito rispetto all’UE.

 

I principi legislativi applicabili in materia di privacy e protezione dei dati sembrano pertanto destinati ad avere quanto meno una temporanea stabilità interna, almeno per due motivi principali: il primo ha a che fare con l’auspicabile volontà del Regno Unito di non perdere l’opportunità di accedere allo Spazio Economico Europeo e al futuro Digital Single Market; il secondo, invece, riguarda l’eventualità che aziende e multinazionali basate a Londra possano cominciare a considerare seriamente l’ipotesi di spostare il proprio quartier generale in Irlanda (o addirittura sul continente) senza la garanzia di poter accedere a strumenti normativi in grado di proteggere il valore dei flussi informativi da loro gestiti.

 

In tale contesto, anche il ruolo dell’autorità garante UK rischi di mutare notevolmente: indebolita e ridimensionata dal post-Brexit, infatti, l’ICO tecnicamente non potrà più prendere parte alle cruciali discussioni sulle modalità di implementazione ed attuazione del nuovo GDPR (tuttora in corso), nonchè alla definizione dei meccanismi di funzionamento del futuro Digital Single Market.

 

In una posizione simile a quella dei Paesi EFTA (European Free Trade Association, composta da Svizzera, Norvegia, Islanda e Liechtenstein), dunque, il Regno Unito perderebbe non solo il proprio status di membro di diritto dell’Article 29 Working Party, ma anche qualunque peso all’interno del futuro European Data Protection Board.

 

In tal senso, infine, il peso del voto referendario e delle sue conseguenze potrebbe influenzare notevolmente le incognite legate ai negoziati e alle trattative non solo sulla posizione del Regno Unito rispetto all’UE, ma anche sul ruolo delle autorità indipendenti UK quali interlocutori autorevoli nel dibattito sul futuro sviluppo della legislazione privacy del continente e sulla sua concreta attuazione.

 

  • Le conseguenze oggettive

 

Tra le incognite principali dello scenario data protection post-Brexit si può annoverare sicuramente quella del funzionamento delle future modalità di allocazione della competenza giurisdizionale attraverso il cd. meccanismo di One-Stop-Shop, in assenza di un riconoscimento formale concesso all’ICO.

 

Sebbene il One-Stop-Shop rappresenti fonte di generale incertezza per legislatori e garanti europei, non è chiaro entro quale misura la portata di tale istituto andrà ad estendersi all’ordinamento giuridico del Regno Unito e ad un eventuale aggiornamento dei principi del Data Protection Act del 1998.

 

Al netto dei due anni di tempo concessi agli Stati Membri per adeguarsi all’entrata in vigore del GDPR, guarda caso all’incirca lo stesso periodo che il Regno Unito avrà per negoziare la propria uscita definitiva dall’Unione Europea, i britannici potrebbero vedersi costretti ad assumere un approccio alla data protection anche differente dalle regole UE – più vicino alla prospettiva americana di “privacy as a commodity” – in funzione del mantenimento di un livello di attrattività commerciale quanto più elevato possibile.

 

Tuttavia, se da lato l’obiettivo di rendersi appealing a livello internazionale ammorbidendo il proprio quadro normativo in materia di compliance privacy potrebbe diventare un fattore di differenziazione competitiva importante rispetto al resto dell’UE, la mancanza di garanzie e meccanismi di enforcement condivisi a controbilanciare la situazione potrebbe, al contrario, scoraggiare l’aumento del flusso di capitali stranieri in arrivo.

 

Per quanto riguarda il meccanismo One-Stop-Shop, in particolare, sarà necessario che, a margine delle trattative istituzionali in corso, l’Article 29 Working Party e la Commissione si pronuncino in merito a quanto necessario per inquadrare il ruolo dell’ICO in ottica complementare a quella del funzionamento dei meccanismi di coerenza e cooperazione disciplinati dal Regolamento.

 

Viceversa, qualsiasi sforzo di implementazione uniforme diretto a modulare sulla  falsariga del GDPR anche le regole in materia di data protection di quei Paesi del continente che non fanno formalmente parte dell’UE (ad esempio: membri EFTA, Turchia e Balcani su tutti, nonché in futuro probabilmente anche il Regno Unito) sarebbe completamente inutile.

 

A questo proposito, ad esempio, ove la Gran Bretagna non dovesse raggiungere uno status analogo a quello della Svizzera, che tuttavia implementando circa l’80% della normativa comunitaria accede de facto a molti dei benefici di full membership degli Stati Membri, si dovrebbe confrontare con meccanismi di trasferimento dati tecnicamente più complessi di quelli validi all’interno dell’UE. Trovandosi sullo stesso piano tutti quei Paesi considerati “terzi” dalla Commissione UE e per i quali in assenza di apposita decisione di adeguatezza per autorizzare il trasferimento di dati personali, potrebbe al più sperare di negoziare una sorta di “UK Privacy Shield”.

 

Viceversa, solo incentivando l’adozione di strumenti privatistici quali Binding Corporate Rules e Standard Contractual Clauses il Regno Unito potrebbe garantire la conformità alla vigente normativa necessaria a superare il periodo transitorio utile a ripensare il proprio quadro legislativo interno in funzione del GDPR.

 

In tale contesto, lo One-Stop-Shop potrebbe rivelarsi pertanto un arma a doppio taglio per il legislatore inglese: da un lato, consentirebbe di godere di maggiore libertà di movimento rispetto allo stretto margine concesso dal GDPR agli Stati Membri UE, dall’altro, tuttavia, rischierebbero di aumentare il gap competitivo legato all’uniformità normativa del continente, spingendo a bilanciare tale svantaggio con ampie aperture su altri fronti “caldi” per mantenere il proprio ruolo leader nei settori della tecnologia, della finanza e dei servizi.

 

In conclusione, è altamente improbabile che la disciplina dei consensi, informative, data breach notification, privacy impact assessment e tutti gli altri istituti del nuovo Regolamento ormai parte integrante del corpus normativo della legislazione privacy europea, prendano una direzione diversa in UK rispetto a quella del resto dell’UE.

 

Tuttavia, se da un lato è certo pure che la rete continuerà a parlare inglese con i propri utenti a prescindere dalla Brexit, per aziende e multinazionali questo passo nel vuoto potrebbe rappresentare un primo fattore di ripensamento del proprio ruolo di sviluppo all’interno del sistema economico e giuridico UK.

 

Inoltre, le aziende che finora avevano immaginato di guidare tutti i rapporti regolatori con le Autorità Europee attraverso il proprio hub londinese – spesso coincidente con l’headquarter principale delle più importanti multinazionali – beneficiando anche dei meccanismi del futuro One-Stop-Shop, dovranno da ora in avanti necessariamente rivedere i propri piani sotto questo punto di vista.

 

Dublino, Parigi, Francoforte e Milano si stanno già attrezzando per accogliere le nuove sedi principali delle multinazionali “transfughe” da Londra, candidandosi a diventare le nuove capitali dei servizi legali e finanziari Europee. Lo scenario post-Brexit va quindi ben monitorato, tenendo in conto sin da ora la possibilità che avvengano importanti cambiamenti nello scenario economico e giuridico dell’UE negli anni a venire.

 

  • Verso un “doppio binario” UE – UK per il regime sanzionatorio in materia data protection?

 

Come sopra accennato, il ruolo inglese nel dibattito globale sul futuro della legislazione in materia di data protection uscirà indebolito dal post-Brexit, in particolare ai Britannici toccherà l’arduo compito di ripensare il proprio quadro normativo interno in maniera autonoma rispetto alla epocale entrata in vigore del nuovo Regolamento ma anche – volenti o nolenti – in maniera funzionale allo stesso.

 

Tutto ciò, al fine di non rimanere completamente isolati dai trend regolamentari più importanti e strumentali a canalizzare lo sviluppo economico complessivo del continente verso il futuro Digital Single Market e le occasioni di crescita tecnologica e a livello internazionale  ad esso collegate.

 

In questo senso, dunque, anche per quanto riguarda il lato sanzionatorio è possibile prevedere che emergeranno differenze importanti tra la futura normativa nazionale inglese e la lettera self-executing del GDPR. In particolare, il legislatore UK potrà volersi esprimere più favorevolmente per ciò che riguarda entità delle sanzioni e criteri di attribuzione, nonchè sull’estensione extra-territoriale delle proprie regole, distaccandosi così dal principio “one continent, one law” alla base del Regolamento. Anche la definizione di stabilimento principale, tuttavia, cardine dell’impalcatura applicativa e sanzionatoria del GDPR, potrebbe diventare oggetto di scrutinio in fase di futura ri-scrittura del Data Protection Act inglese ad immagine e somiglianza del GDPR.

 

Allo stato attuale non è ancora possibile valutare con certezza la probabilità che tale scenario si realizzi concretamente, tuttavia sembra plausibile avanzare l’ipotesi che, nonostante i possibili motivi di convenienza nel distacco dalla disciplina UE, oltre manica si preferirà mantenere quanto più possibile la coerenza con le regole europee almeno su trasferimento dati e regolamentazione dei meccanismi del web.

 

Viceversa, le ricadute economiche, prima che politiche e sociali, rischierebbero di essere traumatiche: tra le altre cose, ad esempio, il Regno Unito potrebbe infatti essere escluso entro fine 2016 dall’accesso ai fondi di coesione europei, dagli incentivi sulla banda larga e dalla possibilità di partecipare al bando per ricerca e sviluppo Horizon 2020. La Brexit non è destinata a cambiare la storia di Internet, così come quella dello sviluppo dell’economia digitale europea e mondiale, tuttavia è necessario al meglio prepararsi alle possibili conseguenze di un tale passo dal punto di vista di compliance privacy e data protection.

 

In conclusione, dunque, se sul fronte interno il Regno Unito cercherà di non aggravare ulteriormente la propria economia nazionale sotto il peso di una disciplina di protezione e libera circolazione dei dati radicalmente diversa da quella europea, arriverà presto il momento di affrontare questioni di importanza strategica per il futuro del Paese che imporranno una riflessione più approfondita sul tema della data protection, in particolare: l’elaborazione di una versione UK del Privacy Shield ed un difficile round di negoziati per l’accesso al TTIP, allo Spazio Economico Europeo, al Digital Single Market, alla giurisdizione della Corte di Giustizia UE e tanto (forse troppo) altro ancora.

 

Nell’attesa di nuovi sviluppi, resta dunque consigliabile per imprese, multinazionali e pubbliche amministrazioni mantenere la concentrazione sul vero motore del cambiamento radicale dell’architettura privacy del continente rappresentato, ancora una volta, dal Regolamento Generale europeo e dalla sua nuova e complessa disciplina.

 

Per approfondire:

  • Corriere Comunicazioni, Brexit, Panetta: “Su online e dati UK vorrà rimanere agganciata alla UE”, 24 giugno 2016 (link)
  • The Privacy Advisor, For privacy pros, Brexit nothing to panic about, 24 giugno 2016 (link)

 

 

*   *   *   *   *

Per qualsiasi ulteriore informazione o chiarimento sul nuovo Regolamento e/o sulle questioni ad esso sottese, non esitate a contattare il nostro Team all’indirizzo email: r.panetta@nctm.it

Log in with your credentials

Forgot your details?