Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash