Data Bridge Act: l´accordo tra Gran Bretagna e Stati Uniti in materia di data protection

Il nuovo assetto regolamentare in materia di protezione di dati personali tra il governo britannico e quello statunitense ha iniziato a produrre i propri effetti il giorno 12 ottobre 2023. Nonostante ciò, il vero accordo fu siglato il giorno 21 settembre 2023, data in cui il governo britannico ha adottato il Data Protection (Adequacy) Regulations 2023, conosciuto anche come “UK-US Data Bridge”.

Grazie al Data Bridge UK-US le aziende del Regno Unito potranno trasferire dati personali a società con sede negli Stati Uniti certificate ai sensi del Data Privacy Framework, tutto ciò nel rispetto del Regolamento generale sulla protezione dei dati del Regno Unito. Ciò significa che le aziende britanniche non dovranno adottare ulteriori misure di conformità. In precedenza, infatti, nell’attività di trasferimento di dati personali dagli Stati Uniti al Regno Unito veniva richiesta l’adozione di clausole contrattuali che garantissero il rispetto degli standard di privacy e protezione dei dati stabilite dall’ordinamento giuridico britannico. Di qui, l’obiettivo del ‘bridge’ è proprio quello di rimuovere l’onere appena descritto.

In altri termini, lo scopo di questo nuovo assetto regolamentare è quello di garantire il mantenimento dei livelli di protezione dei dati dei cittadini britannici anche all'estero. Da qui emerge chiaramente come un “data bridge” sia un’espressione linguistica funzionale a descrivere quello che, nella prassi, è il concetto di ‘adeguatezza’. Questo “bridge” consente il trasferimento di dati personali dal Regno Unito a un altro Stato, in questo caso gli Stati Uniti, senza chiedere ulteriori garanzie. Ciò risulta essere funzionale nel condividere informazioni essenziali nell’attività di ricerca, di supporto alla scienza e all’innovazione, sia negli Stati Uniti che nel Regno Unito.

È doveroso rammentare che i ponti di dati non sono necessariamente reciproci e non per forza consentono ‘la libera circolazione’ di dati in senso assoluto. A contrario, un “data bridge” assicura il rispetto dei livelli di protezione dei dati personali dei cittadini britannici ai sensi della disciplina giuridica britannica.

Un’altra caratteristica di questo accordo è quello di semplificare i trasferimenti di dati andando a ridurre gli oneri amministrativi in precedenza stabiliti ai fini di valutare la conformità alla disciplina vigente.

È possibile, quindi, affermare che grazie a questo accordo si è realizzata una estensione del Data Protection Framework nei confronti del governo statunitense. Attraverso questo meccanismo, dunque, i principi fondanti del Data Protection Framework dovranno essere attuati nell’ordinamento giuridico di importazione.  L’implicazione è che le valutazioni dei rischi effettuati negli Stati Uniti troveranno applicazione in materia di dati personali a prescindere dal fatto che questi provengano dal Regno Unito o dall’European Economic Area.

Si deve evidenziare, tuttavia, come si debba essere cauti nell’affermare che ogni trasferimento di dati personali dall’European Economic Area/Regno Unito nei confronti degli Stati Uniti sia considerato ‘sicuro’. È più corretto affermare che i trasferimenti verso organizzazioni con sede nel territorio statunitense – che hanno recepito i principi del Data Protection Framework e che sono certificati dal Dipartimento del Commercio statunitense – possono essere considerati destinatari sicuri.

In conclusione, detto accordo è particolarmente utile per tutte quelle aziende che effettuano delle operazioni pan-europee in quanto possono effettuare una efficace valutazione e gestione di tutti i trasferimenti transatlantici riguardanti i dati personali.