Dopo un lungo iter burocratico che ha visto coinvolto vari soggetti all’interno dell’UE, la Commissione Europea ha finalmente pubblicato la decisione che rende il Regno Unito un paese terzo avente garanzie adeguate a livello di protezione dei dati personali così come previsto dall’art. 45 del GDPR.
Si ricorda infatti che, a seguito dell’uscita da parte del Regno Unito dall’Unione Europea, ogni trasferimento di dati personali oltre manica era da considerarsi alla stregua di un trasferimento al di fuori del territorio dell’Unione e pertanto soggetto alle misure adeguate previste dall’art. 46 del GDPR. Il grant period accordato tra UE e Regno Unito ha permesso comunque in questi mesi di considerare il territorio d’Oltremanica come un paese ancora facente parte dell’Unione Europea e pertanto non ha reso necessari particolari adempimenti in capo alle organizzazioni che trasferivano dati nel Regno Unito.
Al rush finale del periodo transitorio previsto dall’accordo, la Commissione Europea ha pubblicato la decisione di adeguatezza, ritenendo pertanto la normativa in materia di protezione di dati personali vigente nel Regno Unito conforme ai principi del diritto dell’Unione; infatti – prima della Brexit – il Regno Unito aveva già promulgato una normativa che riprendeva in maniera pressoché identica i principi e i dettati normativi del GDPR. Alla luce di ciò, la Commissione Europea ha ritenuto necessario dichiarare il paese adeguato alla normativa europea e pertanto permettere agli operatori di mercato di trasferire dati personali in ugual misura come avviene in altri paesi dell’Unione Europea.
È importante segnalare come per la prima volta la Commissione abbia emanato una decisione di adeguatezza che terminerà la sua efficacia entro quattro anni dalla sua entrata in vigore, ovvero nel giugno del 2025. La ragione di tale scelta è insita nel fatto che la Commissione vorrà riconsiderare lo stato di conformità del Regno Unito ai principi generali del diritto dell’Unione, evitando prevalentemente che in tale periodo vi sia la possibilità per le autorità pubbliche del Regno Unito di porre in essere attività di sorveglianza ritenute in contrasto con i principi del diritto UE. Decorso tale periodo, sarà così necessario che la decisione di adeguatezza venga rivalutata e ripercorra pertanto il medesimo iter burocratico di approvazione.
La decisione in esame risulta molto importante per le organizzazioni che trasferiscono dati personali con il Regno Unito con una certa frequenza, quali ad esempio multinazionali con sedi proprio in UK. Infatti, non risulta essere necessario alcun tipo di adeguamento – eccezion fatta un aggiornamento documentale – in quanto una simile decisione permette un trasferimento pressoché libero dei dati personali alla stregua di ciò che avviene tra i paesi dell’Unione.