Il 23 giugno 2016, al termine di un voto referendario senza precedenti nella storia contemporanea, il popolo del Regno Unito si è espresso a favore dell’uscita del proprio Paese dall’Unione Europea, dando così inizio ad una fase di rinegoziazione – da una prospettiva unilaterale – dei trattati, che diventerà la chiave per capire cosa ne sarà dei rapporti tra Unione Europea e Gran Bretagna e quale sarà il futuro ruolo dell’UK nello scenario economico e politico europeo e mondiale.
Nel frattempo, sebbene gli effetti del voto referendario siano ancora difficili da prevedere, l’impatto di un tale cambiamento sulla vita quotidiana di milioni di individui, imprese e pubbliche amministrazioni comporterà un profondo ripensamento delle fondamenta sulle quali, fino ad oggi, si è basato l’ordinamento giuridico europeo. Ci saranno impatti per Internet? E il digitale, forte della spinta interna data dal mercato unico, subirà qualche frenata? Cosa succederà al neonato GDPR in materia di privacy?
Il trattamento dei dati personali in Gran Bretagna è oggi regolato dal Data Protection Act del 1998, che ha implementato la Direttiva 95/46/CE insieme a una serie di provvedimenti successivi strumentali al rafforzamento del quadro legislativo nazionale in materia di protezione e libera circolazione dei dati personali.
Nonostante l’attuale scenario, sembra ragionevole affermare che il portato normativo e giurisprudenziale inglese in materia di privacy e data protection, generato innanzitutto a partire dalle dinamiche instaurate grazie all’applicazione dei trattati fondativi UE nell’ordinamento interno, non verrà spazzato via dal “colpo di spugna” del voto sulla Brexit. Almeno non nell’immediato. Come dichiarato dalla stessa Ico, infatti, tale assetto regolamentare è destinato a rimanere in vigore almeno fino al termine del periodo di rinegoziazione dello status del Regno Unito rispetto all’UE.
I principi legislativi applicabili in materia di privacy e protezione dei dati sembrano pertanto destinati ad avere quanto meno una temporanea stabilità interna, almeno per due motivi principali: il primo ha a che fare con l’auspicabile volontà del Regno Unito di non perdere l’opportunità di accedere allo Spazio Economico Europeo e al futuro Digital Single Market; il secondo, invece, riguarda l’eventualità che aziende e multinazionali basate a Londra possano cominciare a considerare seriamente l’ipotesi di spostare il proprio quartier generale in Irlanda (o addirittura sul continente) senza la garanzia di poter accedere a strumenti normativi in grado di proteggere il valore dei flussi informativi da loro gestiti.
In tale contesto, anche il ruolo dell’autorità garante UK rischi di mutare notevolmente: indebolita e ridimensionata dal post-Brexit, infatti, l’ICO tecnicamente non potrà più prendere parte alle cruciali discussioni sulle modalità di implementazione ed attuazione del nuovo GDPR (tuttora in corso), nonchè alla definizione dei meccanismi di funzionamento del futuro Digital Single Market.
In una posizione simile a quella dei Paesi EFTA (European Free Trade Association, composta da Svizzera, Norvegia, Islanda e Liechtenstein), dunque, il Regno Unito perderebbe non solo il proprio status di membro di diritto dell’Article 29 Working Party, ma anche qualunque peso all’interno del futuro European Data Protection Board.
In tal senso, infine, il peso del voto referendario e delle sue conseguenze potrebbe influenzare notevolmente le incognite legate ai negoziati e alle trattative non solo sulla posizione del Regno Unito rispetto all’UE, ma anche sul ruolo delle autorità indipendenti UK quali interlocutori autorevoli nel dibattito sul futuro sviluppo della legislazione privacy e di Internet nel continente e sulla sua concreta attuazione.
Inoltre, tra le incognite principali dello scenario data protection post-Brexit si può annoverare sicuramente quella del funzionamento delle future modalità di allocazione della competenza giurisdizionale attraverso il cd. meccanismo di One-Stop-Shop, in assenza di un riconoscimento formale concesso all’ICO.
Sebbene il One-Stop-Shop rappresenti fonte di generale incertezza per legislatori e garanti europei, non è chiaro entro quale misura la portata di tale istituto andrà ad estendersi all’ordinamento giuridico del Regno Unito.
Al netto dei due anni di tempo concessi agli Stati Membri per adeguarsi all’entrata in vigore del GDPR, guarda caso all’incirca lo stesso periodo che il Regno Unito avrà per negoziare la propria uscita definitiva dall’Unione Europea, i britannici potrebbero vedersi costretti ad assumere un approccio alla data protection anche differente dalle regole UE – più vicino alla prospettiva americana di “privacy as a commodity” – in funzione del mantenimento di un livello di attrattività commerciale quanto più elevato possibile.
Tuttavia, se da lato l’obiettivo di rendersi appealing a livello internazionale ammorbidendo il proprio quadro normativo in materia di compliance privacy potrebbe diventare un fattore di differenziazione competitiva importante rispetto al resto dell’UE, la mancanza di garanzie e meccanismi di enforcement condivisi a controbilanciare la situazione potrebbe, al contrario, scoraggiare l’aumento del flusso di capitali stranieri in arrivo.
Per quanto riguarda il meccanismo One-Stop-Shop, in particolare, sarà necessario che, a margine delle trattative istituzionali in corso, l’Article 29 Working Party e la Commissione si pronuncino in merito a quanto necessario per inquadrare il ruolo dell’ICO in ottica complementare a quella del funzionamento dei meccanismi di coerenza e cooperazione disciplinati dal Regolamento.
Viceversa, qualsiasi sforzo di implementazione uniforme diretto a modulare sulla falsariga del GDPR anche le regole in materia di data protection di quei Paesi del continente che non fanno formalmente parte dell’UE (ad esempio: membri EFTA, Turchia e Balcani su tutti, nonché in futuro probabilmente anche il Regno Unito) sarebbe completamente inutile.
A questo proposito, ad esempio, ove la Gran Bretagna non dovesse raggiungere uno status analogo a quello della Svizzera, che tuttavia implementando circa l’80% della normativa comunitaria accede de facto a molti dei benefici di full membership degli Stati Membri, si dovrebbe confrontare con meccanismi di trasferimento dati tecnicamente più complessi di quelli validi all’interno dell’UE. Trovandosi sullo stesso piano tutti quei Paesi considerati “terzi” dalla Commissione UE e per i quali in assenza di apposita decisione di adeguatezza per autorizzare il trasferimento di dati personali, potrebbe al più sperare di negoziare una sorta di “UK Privacy Shield”.
Viceversa, solo incentivando l’adozione di strumenti privatistici quali Binding Corporate Rules e Standard Contractual Clauses il Regno Unito potrebbe garantire la conformità alla vigente normativa necessaria a superare il periodo transitorio utile a ripensare il proprio quadro legislativo interno in funzione del GDPR.
In tale contesto, lo One-Stop-Shop potrebbe rivelarsi pertanto un arma a doppio taglio per il legislatore inglese: da un lato, consentirebbe di godere di maggiore libertà di movimento rispetto allo stretto margine concesso dal GDPR agli Stati Membri UE, dall’altro, tuttavia, rischierebbero di aumentare il gap competitivo legato all’uniformità normativa del continente, spingendo a bilanciare tale svantaggio con ampie aperture su altri fronti “caldi” per mantenere il proprio ruolo leader nei settori della tecnologia, della finanza e dei servizi.
In conclusione, è altamente improbabile che la disciplina dei consensi, informative, data breach notification, privacy impact assessment e tutti gli altri istituti del nuovo Regolamento ormai parte integrante del corpus normativo della legislazione privacy europea, prendano una direzione diversa in UK rispetto a quella del resto dell’UE.
Tuttavia, se da un lato è certo pure che la rete continuerà a parlare inglese con i propri utenti a prescindere dalla Brexit, per aziende e multinazionali questo passo nel vuoto potrebbe rappresentare un primo fattore di ripensamento del proprio ruolo di sviluppo all’interno del sistema economico e giuridico UK.
Inoltre, le aziende che finora avevano immaginato di guidare tutti i rapporti regolatori con le Autorità Europee attraverso il proprio hub londinese – spesso coincidente con l’headquarter principale delle più importanti multinazionali – beneficiando anche dei meccanismi del futuro One-Stop-Shop, dovranno da ora in avanti necessariamente rivedere i propri piani sotto questo punto di vista.
Dublino, Parigi, Francoforte e Milano si stanno già attrezzando per accogliere le nuove sedi principali delle multinazionali “transfughe” da Londra, candidandosi a diventare le nuove capitali dei servizi legali e finanziari Europee. Lo scenario post-Brexit va quindi ben monitorato, tenendo in conto sin da ora la possibilità che avvengano importanti cambiamenti nello scenario economico e giuridico dell’UE negli anni a venire.