Bruxelles, 20 ottobre - Nel corso della sua ultima sessione plenaria, l'EDPB ha adottato due pareri sui progetti di decisione della Commissione europea relativi alla proroga della validità delle decisioni di adeguatezza del Regno Unito a norma del regolamento generale sulla protezione dei dati (GDPR) e della direttiva sulla protezione dei dati nelle attività di contrasto (LED) fino al dicembre 2031.*
I pareri dell'EDPB, richiesti dalla Commissione a norma dell'articolo 70, paragrafo 1, lettera s), GDPR e dell'articolo 51, paragrafo 1, lettera g), LED, riguardano la proposta di proroga di sei anni delle due decisioni di adeguatezza del Regno Unito che scadranno nel dicembre 2025.
L'estensione della validità delle decisioni di adeguatezza del Regno Unito consentirà alle organizzazioni e alle autorità competenti con sede in Europa di continuare a trasferire i dati alle organizzazioni e alle autorità con sede nel Regno Unito senza attuare ulteriori garanzie.**
"L'EDPBaccoglie con favore il continuo allineamento tra il quadro per la protezione dei dati del Regno Unito e quello dell'Europa, nonostante le recenti modifiche apportate al quadro giuridico del Regno Unito.
Invito la Commissione europea ad affrontare i punti evidenziati dal comitato e a garantire un monitoraggio efficace una volta adottate le decisioni. Ciò aumenterà la solidità dell'adeguatezza del Regno Unito e garantirà una maggiore certezza giuridica per le organizzazioni e le autorità competenti che trasferiscono dati personali dall'Europa al Regno Unito."
Presidente dell'EDPB, Anu Talus
Informazioni sul parere GDPR
Secondo il comitato, la maggior parte delle modifiche introdotte nel quadro di protezione dei dati del Regno Unito mira a chiarire e facilitare il rispetto della legge.
Alcuni aspetti del progetto di decisione potrebbero essere ulteriormente chiariti.
L'EDPB invita la Commissione europea ad analizzare e monitorare ulteriormente le modifiche al Retained EU Law (Revocation and Reform) Act 2023, noto anche come REUL Act, in particolare l'eliminazione del principio del primato del diritto dell'UE e l'eliminazione dell'applicazione diretta dei principi del diritto dell'UE.
L'EDPB osserva che al Segretario di Stato sono stati conferiti nuovi poteri per introdurre modifiche al nuovo quadro di protezione dei dati, attraverso regolamenti secondari che richiedono un minore controllo parlamentare. È il caso dei trasferimenti internazionali, del processo decisionale automatizzato e della governance dell'Ufficio del commissario per l'informazione (ICO). L'EDPB invita la Commissione ad affrontare i possibili rischi di divergenza evidenziando, nella decisione finale di adeguatezza, i settori che intendono monitorare attentamente.
L'EDPB incoraggia inoltre la Commissione a elaborare ulteriormente la sua valutazione e a monitorare le norme sui trasferimenti dal Regno Unito verso paesi terzi. Il nuovo test di adeguatezza, introdotto dal Data (Use and Access) Act 2025, richiede che il livello di protezione del paese terzo non sia materialmente inferiore a quello previsto per gli interessati dal quadro del Regno Unito, ma non fa riferimento al rischio di accesso da parte del governo, all'esistenza di mezzi di ricorso per le persone fisiche e alla necessità di un'autorità di controllo indipendente.
La Commissione dovrebbe inoltre valutare e monitorare ulteriormente il presunto utilizzo da parte del governo del Regno Unito degli avvisi sulle capacità tecniche ("TCN") che impongono alle imprese di eludere la cifratura, in quanto ciò creerebbe vulnerabilità sistemiche e costituirebbe un rischio per l'integrità e la riservatezza delle comunicazioni elettroniche.
Infine, l'EDPB invita la Commissione a valutare e monitorare ulteriormente le modifiche alla struttura dell'ICO e l'esercizio dei suoi poteri correttivi. In tale contesto, l'EDPB prende atto con soddisfazione della politica di trasparenza dell'ICO e della disponibilità dei dati statistici e analitici delle sue attività di applicazione.
Le nuove decisioni di adeguatezza si aggiungeranno alle decisioni del 2021, che continueranno ad applicarsi ai settori non contemplati nei progetti di decisione del 2025. L'EDPB si basa sui suoi pareri del 2021 (14/2021 e 15/2021). In particolare, lo stretto allineamento tra il quadro GDPR e il quadro giuridico del Regno Unito sulle disposizioni fondamentali, evidenziato nel 2021, continua a essere valido oggi (tra cui, ad esempio, la trasparenza, i diritti degli interessati e categorie speciali di dati).
Informazioni sul parere LED
L'EDPB accoglie con favore il continuo allineamento tra il quadro in materia di protezione dei dati in Europa e nel Regno Unito e incoraggia la Commissione a integrare la sua valutazione sugli aspetti relativi alle esenzioni per motivi di sicurezza nazionale. Tali esenzioni possono derogare alla maggior parte dei principi di protezione dei dati e ad alcune norme internazionali in materia di trasferimento per le autorità di contrasto,limitando inoltre i poteri di esecuzione e ispezione delle ICO.
L'EDPB invita la Commissione ad analizzare le norme del Regno Unito sui trasferimenti di dati personali verso paesi terzi, in particolare il nuovo test di adeguatezza, allo stesso modo del parere sul GDPR.
Il comitato sottolinea inoltre l'approccio più permissivo per il processo decisionale automatizzato e i nuovi poteri conferiti al segretario di Stato in materia. Ricorda l'importanza di una revisione umana significativa ed esorta la Commissione a chiarire e monitorare eventuali esenzioni dal diritto delle persone di ottenere l'intervento umano.
Infine, l'EDPB riconosce che il sistema di sorveglianza delle autorità di contrasto in materia penale e i meccanismi di ricorso rimangono sostanzialmente invariati e ribadisce la necessità che la Commissione monitori attentamente l'applicazione dei poteri correttivi e dei mezzi di ricorso per le persone fisiche nel quadro della protezione dei dati del Regno Unito.
Nota per gli editori:
* Il 22 luglio 2025 la Commissione europea ha pubblicato due progetti di decisioni di esecuzione modificative sull'adeguata protezione dei dati personali da parte del Regno Unito a norma dell'articolo 45, paragrafo 3, GDPR e dell'articolo 36, paragrafo 3, LED. Tali progetti di decisione mirano a prorogare la validità delle precedenti decisioni di adeguatezza adottate il 28 giugno 2021.
Nel maggio 2025 la Commissione ha adottato una decisione volta a prorogare la validità della decisione di adeguatezza del Regno Unito per altri sei mesi, da giugno a dicembre 2025. L'EDPB ha adottato un parere su tale proroga nel maggio 2025.
** Una decisione di adeguatezza è un meccanismo chiave nella legislazione dell'UE in materia di protezione dei dati che consente alla Commissione europea di determinare se un paese terzo o un'organizzazione internazionale offra un livello adeguato di protezione dei dati. La Commissione europea ha il potere di determinare, sulla base dell'articolo 45 del regolamento (UE) 2016/679, se un paese al di fuori dell'UE offra un livello adeguato di protezione dei dati.
L'adozione di una decisione di adeguatezza comporta: 1) una proposta della Commissione europea; 2) un parere del comitato europeo per la protezione dei dati; 3) l'approvazione dei rappresentanti dei paesi dell'UE; 4) l'adozione della decisione da parte della Commissione europea.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.