NEWS

Trasferimento dati all’estero: la 'sunset clause' nella decisione di adeguatezza del Regno Unito

La nuova Decisione di Adeguatezza, intervenuta il 28 giugno a favore del Regno Unito, è stata accolta con un sospiro di sollievo da entrambi i lati della Manica, in quanto mancavano solamente 48 ore allo scadere del periodo di grazia contrattato tra le parti tramite l’Accordo di Scambio e Cooperazione UE – UK. Una delle novità rispetto alle precedenti decisioni di adeguatezza è l’inserimento di una c.d. “sunset clause”, traducibile in italiano con “clausola di caducità” (anche se spesso si preferisce non tradurre il termine).

Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano

(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)

Tale clausola, in generale, prevede che la legge, il regolamento o lo statuto cesserà la sua efficacia allo scadere di un determinato periodo così come fissato dalla clausola stessa, a meno che non intervenga un’azione positiva volta a rinnovare ed estendere il periodo di efficacia della disposizione in questione.

Rispetto al trasferimento di dati sulla base di una decisione di adeguatezza, l’art. 45 co. 3 del GDPR stabilisce che: “L’atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti al paese terzo o nell’organizzazione internazionale”. Tale previsione, però, non specifica quale tipologia di meccanismo debba essere previsto in concreto.

Ad esempio, per quanto riguarda la prima delle decisioni di adeguatezza eseguite dopo l’entrata in vigore del GDPR, relativa al Giappone, all’art. 3 viene sì previsto un meccanismo di riesame periodico, inizialmente di due anni e successivamente di quattro, ma ad esso non corrisponde la necessità, da parte della Commissione, di rinnovare la decisione di adeguatezza mediante un atto positivo, quanto piuttosto di verificare che le condizioni del quadro giuridico di riferimento, su cui si basa la decisione stessa, continuino a venire rispettate. In caso contrario, qualora non venisse più assicurato un adeguato livello di protezione, la Commissione potrà decidere di sospendere, modificare, abrogare o limitare l’ambito di applicazione della decisione. Tali misure possono comunque venire adottate in qualunque momento dalla Commissione, ma il richiamo ad un riesame periodico rinforza la necessità di tali controlli.

La Sunset clause, ovvero la decisione di adeguatezza a tempo determinato per UK

La decisione di adeguatezza per il Regno Unito, all’art. 3 prevede, come nelle altre decisioni precedenti, meccanismi di controllo continuo e le corrispondenti azioni di sospensione, modificazione o abrogazione qualora, in qualunque momento, si rilevi che non sussistano più le condizioni sulle quali si basa la decisione, e tali atti verranno adottati secondo la procedura di cui all’art. 93 paragrafo 2, o in caso di emergenza, la procedura di cui all’art. 93 paragrafo 3 del GDPR. La novità, invece, si trova all’art. 4, il quale stabilisce che: “Questa decisione cesserà il 27 giugno 2025, a meno che non venga rinnovata in accordo con la procedura di cui all’art. 93 co. 2 del Regolamento (EU) 2016/679” (traduzione libera).

L’Effetto è quindi ben diverso rispetto, ad esempio, alle previsioni contenute nell’art. 3 della decisione di adeguatezza relativa al Giappone. Alla prevalenza della necessità di un accertamento in negativo viene qui contrapposta la prevalenza della necessità di un accertamento in positivo, richiedendo alla Commissione di iniziare la procedura per il rinnovo della decisione almeno sei mesi prima della sua caducazione.

Pertanto, bisogna chiedersi quale sia il meccanismo più efficace per il riesame periodico delle decisioni. Il modello più tradizionale di riesame, come rappresentato ad esempio dalla decisione sull’adeguatezza del Giappone, richiede un dispendio di risorse e tempo importante, ma comunque inferiore rispetto alla necessità di adoperarsi per il rinnovo della decisione. Tale rinnovo, infatti, implicherebbe tutta una serie di corollari procedimentali e burocratici che derivano dall’applicazione della procedura a cui fa riferimento il paragrafo-. 2 dell’art. 93 del GDPR, cioè alla procedura di esame ex art. 5 del regolamento 182/2011.

Nonostante tale innovazione permetta un controllo ancora più accurato della permanenza delle condizioni necessarie affinché si possa considerare un Paese terzo come adeguato, non si può non tenere in considerazione che, l’augurato aumento del numero di Paesi positivamente soggetti a decisioni di adeguatezza nel prossimo futuro, possa richiedere, qualora venisse replicato il meccanismo della sunset clause per ogni nuova decisione di adeguatezza, un evidente incremento del livello di attenzione rispetto alle scadenze da parte degli addetti ai lavori, soprattutto nell’ottica di intervenire tempestivamente per porre rimedio ad un’eventuale mancanza di rinnovo della decisione stessa.

Note Autore

Matteo Alessandro Pagani Matteo Alessandro Pagani

Avvocato, Socio Fondatore PLS Legal, Delegato Federprivacy nell'area metropolitana di Milano - Web: www.plslegal.eu

Prev Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo
Next Ora i dipendenti preferiscono WhatsApp alla mail: dati aziendali fuori controllo

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy