(1)

La direttiva (UE) 2016/680 definisce le norme per il trasferimento di dati dalle autorità competenti nell’Unione verso paesi terzi od organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme sui trasferimenti internazionali di dati da parte delle autorità competenti sono stabilite nel capo V della direttiva (UE) 2016/680, in particolare negli articoli da 35 a 40. Sebbene la circolazione di dati personali verso e da paesi al di fuori dell’Unione europea sia essenziale per un’efficiente cooperazione in materia di contrasto, occorre garantire che il livello di protezione dei dati personali nell’Unione europea non sia compromesso da tali trasferimenti (2).

(2)

Ai sensi dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680 la Commissione può decidere, mediante un atto di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato. Nel rispetto di tale condizione, i trasferimenti di dati personali verso un paese terzo possono avvenire senza la necessità di ottenere ulteriori autorizzazioni (fatto salvo il caso in cui un altro Stato membro dal quale sono stati ottenuti i dati debba fornire la propria autorizzazione a tale trasferimento), come previsto dall’articolo 35, paragrafo 1, e dal considerando 66 della direttiva (UE) 2016/680.

(3)

Come specificato all’articolo 36, paragrafo 2, della direttiva (UE) 2016/680, l’adozione di una decisione di adeguatezza deve essere basata su un’analisi completa dell’ordinamento giuridico del paese terzo. Nella propria valutazione la Commissione deve stabilire se il paese terzo in questione assicura un livello di protezione «sostanzialmente equivalente» a quello garantito all’interno dell’Unione europea [considerando 67 della direttiva (UE) 2016/680]. Il criterio rispetto al quale viene valutata l’«equivalenza sostanziale» è quello stabilito dalla legislazione dell’UE, in particolare dalla direttiva (UE) 2016/680, nonché dalla giurisprudenza della Corte di giustizia dell’Unione europea (3). Anche i criteri di riferimento per l’adeguatezza del comitato europeo per la protezione dei dati sono rilevanti a questo proposito (4).

(4)

Come chiarito dalla Corte di giustizia dell’Unione europea, non è richiesto un livello di protezione identico (5). In particolare, gli strumenti dei quali il paese terzo in questione si avvale per proteggere i dati personali possono essere diversi da quelli attuati all’interno dell’Unione europea, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello adeguato di protezione (6). Il livello di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell’Unione. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla riservatezza e rendendone l’attuazione, l’azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offra il necessario livello di protezione (7).

(5)

La Commissione ha analizzato attentamente la normativa e la prassi del Regno Unito in materia. Sulla base delle risultanze illustrate in appresso, la Commissione conclude che il Regno Unito garantisce un livello di protezione adeguato per i dati personali trasferiti dalle autorità competenti nell’Unione che rientrano nell’ambito di applicazione della direttiva (UE) 2016/680, alle autorità competenti nel Regno Unito che rientrano nell’ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati (Data Protection Act 2018) del Regno Unito (8).

(6)

Per effetto della presente decisione tali trasferimenti possono avvenire senza la necessità di ottenere ulteriori autorizzazioni per un periodo di quattro anni, rinnovabile, fatte salve le condizioni di cui all’articolo 35 della direttiva (UE) 2016/680.

(7)

Il Regno Unito è una democrazia parlamentare. Dispone di un parlamento sovrano che costituisce l’autorità suprema rispetto a tutte le altre istituzioni pubbliche, di un potere esecutivo designato dal parlamento e responsabile di fronte a quest’ultimo, e di un potere giudiziario indipendente. Il potere esecutivo deriva la propria autorità dalla propria capacità di ottenere la fiducia della House of Commons (Camera dei Comuni) eletta e risponde a entrambe le camere del parlamento (Camera dei Comuni e House of Lords, Camera dei Lord), che sono competenti per l’esame dell’operato del governo nonché per la discussione e l’emanazione delle leggi. Il parlamento del Regno Unito ha delegato al parlamento scozzese, al parlamento gallese (Senedd Cymru) e all’assemblea dell’Irlanda del Nord la competenza per legiferare rispettivamente in Scozia, in Galles e in Irlanda del Nord in determinate materie interne. Sebbene la protezione dei dati sia di competenza esclusiva del parlamento del Regno Unito, il che significa che la medesima legislazione si applica in tutto il paese, la regolamentazione di altri settori politici pertinenti per la presente decisione è stata delegata. Ad esempio i sistemi di giustizia penale, comprese le attività di polizia (le attività esercitate dalle forze di polizia), di Scozia e Irlanda del Nord sono soggetti rispettivamente alla competenza del parlamento scozzese e dell’assemblea dell’Irlanda del Nord (9).

(8)

Il Regno Unito non dispone di una costituzione codificata nel senso di un documento costitutivo consolidato: i suoi principi costituzionali si sono affermati nel corso del tempo, tratti in particolare dalla giurisprudenza e dalla convenzione. Il valore costituzionale di taluni statuti, quali la Magna Carta, il Bill of Rights 1689 e la Human Rights Act 1998 (legge del 1998 sui diritti umani), è stato riconosciuto. I diritti fondamentali delle persone fisiche sono stati sviluppati, come parte della costituzione, attraverso la «common law» (diritto giurisprudenziale), gli statuti e i trattati internazionali, in particolare la convenzione europea dei diritti dell’uomo (CEDU), che il Regno Unito ha ratificato nel 1951. Nel 1987 il Regno Unito ha ratificato altresì la convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (convenzione 108) (10).

(9)

La legge del 1998 sui diritti umani integra nel diritto del Regno Unito i diritti sanciti dalla CEDU. Tale legge accorda a qualsiasi persona fisica i diritti e le libertà fondamentali di cui agli articoli da 2 a 12 e 14 CEDU, agli articoli da 1 a 3 del suo primo protocollo e all’articolo 1 del suo tredicesimo protocollo, in combinato disposto con gli articoli da 16 a 18 CEDU. Tra di essi è compreso il diritto al rispetto della vita privata e familiare, che a sua volta comprende il diritto alla protezione dei dati, e il diritto a un equo processo (11). In particolare, conformemente all’articolo 8 CEDU, può esservi ingerenza di un’autorità pubblica in relazione al diritto alla tutela della vita privata conformemente alla legge soltanto laddove ciò costituisca in una società democratica una misura necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.

(10)

Conformemente alla legge del 1998 sui diritti umani, qualsiasi azione delle autorità pubbliche deve essere compatibile con un diritto sancito dalla CEDU (12). Inoltre la legislazione primaria e quella subordinata vanno lette e attuate in maniera compatibile con tali diritti (13). Nella misura in cui una persona fisica ritenga che i suoi diritti, compresi quelli relativi alla tutela della vita privata e alla protezione dei dati, siano stati violati dalle autorità pubbliche, può presentare ricorso dinanzi gli organi giurisdizionali del Regno Unito ai sensi della legge del 1998 sui diritti umani e, se del caso, una volta esperiti i mezzi di ricorso nazionali, può presentare ricorso dinanzi alla Corte europea dei diritti dell’uomo per violazione dei diritti sanciti dalla CEDU.

(11)

Il Regno Unito ha receduto dall’Unione il 31 gennaio 2020. In base all’accordo sul recesso del Regno Unito di Gran Bretagna e Irlanda del Nord dall’Unione europea e dalla Comunità europea dell’energia atomica (14), il diritto dell’Unione ha continuato ad applicarsi nel Regno Unito durante il periodo di transizione, fino al 31 dicembre 2020. Prima del recesso e durante il periodo di transizione, il quadro normativo in materia di protezione dei dati personali nel Regno Unito che disciplinava il trattamento di dati personali da parte delle autorità competenti per fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compresa la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, era costituito dalle parti pertinenti della legge del 2018 sulla protezione dei dati, che recepiva la direttiva (UE) 2016/680.

(12)

In preparazione al recesso dall’Unione europea, il governo del Regno Unito ha emanato la European Union (Withdrawal) Act 2018 (15) (legge del 2018 relativa al recesso dall’Unione europea), che ha incorporato la legislazione dell’Unione direttamente applicabile nel diritto del Regno Unito e ha previsto che la cosiddetta «legislazione interna derivata da quella dell’Unione» continuasse ad avere efficacia dopo la fine del periodo di transizione. La parte 3 della legge del 2018 sulla protezione dei dati (16) che recepisce la direttiva (UE) 2016/680 costituisce «legislazione interna derivata da quella dell’Unione» nel contesto della legge del 2018 relativa al recesso dall’Unione europea. Conformemente alla legge del 2018 relativa al recesso dall’Unione europea, la «legislazione interna derivata da quella dell’Unione» non modificata deve essere interpretata dagli organi giurisdizionali del Regno Unito in conformità con la relativa giurisprudenza della Corte di giustizia dell’Unione europea (Corte di giustizia) e con i principi generali del diritto dell’Unione così come efficaci immediatamente prima della fine del periodo di transizione (denominati rispettivamente «giurisprudenza dell’UE mantenuta» e «principi generali del diritto dell’UE mantenuti») (17).

(13)

Ai sensi della legge del 2018 relativa al recesso dall’Unione europea, i ministri del Regno Unito hanno il potere di introdurre diritto derivato, tramite strumenti legislativi, al fine di adottare le modifiche necessarie al diritto dell’Unione mantenuto in conseguenza del recesso del Regno Unito dall’Unione. Essi hanno esercitato tale potere adottando i Data Protection, Privacy and Electronic Communications (Amendments ecc.) (EU Exit) Regulations 2019 (regolamenti DPPEC) (18), che modificano la legislazione del Regno Unito in materia di protezione dei dati, inclusa la legge del 2018 sulla protezione dei dati, per adattarla al contesto nazionale (19).

(14)

Di conseguenza il quadro giuridico in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compresa la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica nel Regno Unito, dopo il periodo di transizione in virtù dell’accordo di recesso continueranno ad essere stabilite nelle parti pertinenti della legge del 2018 sulla protezione dei dati, ma quale modificata dai regolamenti DPPEC, in particolare nella parte 3 di tale legge. Il regolamento generale sulla protezione dei dati del Regno Unito (GDPR del Regno Unito) non si applica a questo tipo di trattamento.

(15)

La parte 3 della legge del 2018 sulla protezione dei dati definisce le norme per il trattamento di dati personali per finalità di contrasto in materia penale, nonché i principi di protezione dei dati, le basi giuridiche del trattamento (liceità), i diritti degli interessati, gli obblighi delle autorità competenti in qualità di titolari del trattamento e le limitazioni ai trasferimenti successivi. Le norme applicabili in materia di vigilanza, applicazione e ricorso nel settore delle attività di contrasto sono definite nelle parti 5 e 6 della legge del 2018 sulla protezione dei dati.

(16)

Inoltre, alla luce del ruolo pertinente svolto dalle forze di polizia nel settore delle attività di contrasto, è opportuno prendere in considerazione le norme che disciplinano le attività di polizia. Queste ultime, essendo oggetto di delega, sono disciplinate in a) Inghilterra e Galles, b) Scozia e c) Irlanda del Nord da atti legislativi diversi, che tuttavia sono spesso analoghi in termini di contenuti (20). Ulteriori chiarimenti sulle modalità di utilizzo dei poteri della polizia sono forniti da vari tipi di documenti di orientamento, che assumono tre forme principali: 1) gli orientamenti normativi emessi ai sensi della legislazione, quali il Codice etico (21) e il Code of Practice on the Management of Police Information (22) («codice di pratica MoPI») adottato in virtù della Police Act 1996 (23) (legge del 1996 sulla polizia) o i codici PACE (24) adottati in virtù della Police and Criminal Evidence Act (25); 2) Authorised Professional Practice on the Management of Police Information (orientamenti APP sulla gestione delle informazioni di polizia) (26), emessi dal College of Policing; e 3) gli orientamenti operativi (pubblicati dalla polizia stessa). Il Consiglio nazionale dei capi di polizia (National Police Chiefs Council), un organismo di coordinamento per tutte le forze di polizia del Regno Unito, pubblica orientamenti operativi approvati da tutte le forze di polizia e che si applicano pertanto a livello nazionale (27), destinati ad assicurare la coerenza tra le forze di polizia in merito alle modalità di gestione delle informazioni (28).

(17)

Il codice di pratica MoPI è stato pubblicato dal segretario di Stato nel 2005, nell’esercizio dei poteri previsti dalla sezione 39 A della legge del 1996 sulla polizia (29). Ogni codice di pratica emesso ai sensi della legge sulla polizia deve ottenere l’approvazione del segretario di Stato ed è oggetto di consultazione con la National Crime Agency prima di essere presentato al parlamento. La sezione 39 A, paragrafo 7, della legge sulla polizia impone alle forze di polizia di tenere in debito conto i codici emessi ai sensi di tale legge, che di conseguenza devono essere rispettati dalla polizia (30). Inoltre gli orientamenti non normativi (come gli orientamenti sulle pratiche professionali autorizzate in materia di gestione delle informazioni di polizia) devono essere sempre coerenti con il codice di pratica MoPI, che prevale rispetto a essi (31). Sebbene gli operatori di polizia debbano discostarsi da tali orientamenti in determinate situazioni operative, essi sono comunque tenuti a rispettare le prescrizioni di cui alla parte 3 della legge del 2018 sulla protezione dei dati (32).

(18)

Ulteriori orientamenti sulla legislazione del Regno Unito in materia di protezione dei dati per il trattamento nel settore delle attività di contrasto sono forniti dall’Information Commissioner («ICO») (33), su cui si vedano i considerando da 93 a 109. Sebbene tali orientamenti non siano giuridicamente vincolanti, in una causa giudiziaria gli organi giurisdizionali sarebbero tenuti a prendere in considerazione eventuali loro violazioni, dato che hanno valenza interpretativa e dimostrano come l’ICO interpreti e applichi nella pratica la legislazione in materia di protezione dei dati (34).

(19)

Infine, come menzionato nei considerando da 8 a 10, le autorità di contrasto del Regno Unito devono garantire il rispetto della CEDU e della convenzione 108.

(20)

In termini di struttura e componenti principali, il quadro giuridico che disciplina il trattamento dei dati da parte delle autorità di contrasto in materia penale del Regno Unito è quindi molto simile a quello che si applica nell’Unione europea. Tale quadro non si basa soltanto sugli obblighi stabiliti dal diritto interno che sono stati modellati dal diritto dell’Unione, ma anche sugli obblighi sanciti dal diritto internazionale, in particolare attraverso l’adesione da parte del Regno Unito alla CEDU e alla convenzione 108 nonché il suo assoggettamento alla competenza giurisdizionale della Corte europea dei diritti dell’uomo. Tali obblighi derivanti da strumenti internazionali giuridicamente vincolanti, riguardanti in particolare la protezione dei dati personali, costituiscono pertanto un elemento di particolare importanza del quadro giuridico valutato nella presente decisione.

(21)

L’ambito di applicazione materiale della parte 3 della legge del 2018 sulla protezione dei dati coincide con l’ambito di applicazione della direttiva (UE) 2016/680 quale specificato nell’articolo 2, paragrafo 2, di quest’ultima. La parte 3 si applica al trattamento interamente o parzialmente automatizzato dei dati personali da parte di un’autorità competente, così come al trattamento da parte di un’autorità competente di dati personali che sono contenuti, o destinati a essere contenuti, in un archivio, con mezzi diversi da quelli automatizzati.

(22)

Inoltre, per rientrare nell’ambito di applicazione della parte 3 il titolare del trattamento deve essere un’«autorità competente» e il trattamento deve essere svolto per una «finalità di contrasto». Di conseguenza, il regime di protezione dei dati valutato nella presente decisione si applica a tutte le attività di contrasto svolte da tali autorità competenti.

(23)

A norma della sezione 30 della legge sulla protezione dei dati, per «autorità competente» si intende una persona elencata nell’allegato 7 della legge del 2018 sulla protezione dei dati e qualsiasi altra persona nella misura in cui svolga funzioni fissate dalla legge per qualsiasi finalità di contrasto. Le autorità competenti elencate nell’allegato 7 comprendono non soltanto le forze di polizia, ma anche tutti i dipartimenti governativi ministeriali del Regno Unito nonché altre autorità aventi funzioni investigative (ad esempio Commissioner for Her Majesty’s Revenue and Customs, Welsh Revenue Authority, Competition and Markets Authority, Her Majesty’s Land Register o National Crime Agency), le procure, altri organi di giustizia penale e altri titolari od organizzazioni che svolgono attività di contrasto (35). La parte 3 della legge del 2018 sulla protezione dei dati si applica anche agli organi giurisdizionali quando esercitano le loro funzioni giudiziarie, fatta eccezione per la parte relativa ai diritti degli interessati e alla vigilanza da parte dell’ICO (36). L’elenco delle autorità competenti fornito dall’allegato 7 non è definitivo e può essere aggiornato dal segretario di Stato mediante regolamenti tenendo conto delle modifiche dell’organizzazione degli uffici pubblici (37).

(24)

Il trattamento in questione deve inoltre avvenire per una «finalità di contrasto», definita come la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, compresa la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica (38). Il trattamento da parte di un’autorità competente non è regolamentato dalla parte 3 della legge del 2018 sulla protezione dei dati laddove non sia svolto per finalità di contrasto. Ciò si verifica ad esempio quando la Competition and Markets Authority, l’autorità del Regno Unito per la concorrenza e i mercati, indaga in merito a casi che non si qualificano come reato (ad esempio fusioni tra imprese). In tal caso si applicherà il GDPR del Regno Unito, unitamente alla parte 2 della legge del 2018 sulla protezione dei dati, dato che il trattamento dei dati personali da parte delle autorità competenti è svolto per finalità diverse da quelle di contrasto. Ai fini della determinazione del regime di protezione applicabile (parte 3 o parte 2 della legge del 2018 sulla protezione dei dati) al trattamento dei dati personali in questione, l’autorità competente, ossia il titolare del trattamento, deve considerare se la «finalità primaria» di tale trattamento sia una delle finalità di contrasto previste dalla legge del 2018 sulla protezione dei dati.

(25)

Per quanto concerne l’ambito di applicazione territoriale della parte 3 della legge del 2018 sulla protezione dei dati, la sezione 207, paragrafo 2, prevede che tale legge si applichi al trattamento dei dati personali nel contesto delle attività di una persona stabilita nel territorio del Regno Unito. Rientrano in tale contesto le autorità pubbliche dei territori di Inghilterra, Galles, Scozia e Irlanda del Nord soggette all’ambito di applicazione materiale della parte 3 della legge del 2018 sulla protezione dei dati (39).

(26)

I concetti chiave di «dati personali» e «trattamento» sono definiti dalla sezione 3 della legge del 2018 sulla protezione dei dati e si applicano in tutto il testo di tale legge. Le definizioni seguono da vicino le definizioni corrispondenti di cui all’articolo 3 della direttiva (UE) 2016/680. Ai sensi della legge del 2018 sulla protezione dei dati, per dato personale si intende qualsiasi informazione relativa a una persona fisica vivente identificata o identificabile (40). Ai sensi della sezione 3, paragrafo 3, della legge del 2018 sulla protezione dei dati, una persona fisica è identificabile se può essere identificata direttamente o indirettamente in base alle informazioni, anche mediante riferimento a un nome o un identificatore o a uno o più fattori specifici del suo aspetto fisico o del suo stato fisiologico, genetico, mentale, economico, culturale oppure della sua identità sociale. Per «trattamento» si intende un’operazione o un insieme di operazioni compiute su informazioni o su serie di informazioni, quali: a) la raccolta, la registrazione, l’organizzazione, la strutturazione o la conservazione; b) l’adattamento o la modifica; c) l’estrazione, la consultazione, l’uso; d) la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione; e) il raffronto o l’interconnessione; o f) la limitazione, la cancellazione o la distruzione. Tale legge definisce inoltre il «trattamento di dati sensibili» come a) il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale; b) il trattamento di dati genetici, o di dati biometrici, al fine di identificare in modo univoco una persona fisica; c) il trattamento di dati relativi alla salute; d) il trattamento di dati relativi alla vita sessuale o all’orientamento sessuale della persona fisica (41). A tale riguardo la sezione 205 della legge del 2018 sulla protezione dei dati fornisce la definizione di «dati biometrici» (42), «dati relativi alla salute» (43) e «dati genetici» (44).

(27)

La sezione 32 della legge del 2018 sulla protezione dei dati contiene le definizioni di «titolare del trattamento» e «responsabile del trattamento» nel contesto del trattamento di dati personali per finalità di contrasto, che rispecchiano in larga misura le definizioni equivalenti contenute nella direttiva (UE) 2016/680. Il «titolare del trattamento» è l’autorità competente per stabilire le finalità e i mezzi del trattamento dei dati personali. Se il trattamento è imposto per legge, il titolare del trattamento è l’autorità competente a cui tale obbligo è imposto dalla legge in questione. Il responsabile del trattamento è la persona che tratta dati personali per conto del titolare del trattamento (diversa da un dipendente del titolare del trattamento).

(28)

La sezione 35 della legge del 2018 sulla protezione dei dati stabilisce che il trattamento dei dati personali deve essere lecito e corretto, in maniera analoga a quanto stabilito dall’articolo 4, paragrafo 1, lettera a), della direttiva (UE) 2016/680. Conformemente alla sezione 35, paragrafo 2, della legge del 2018 sulla protezione dei dati, il trattamento di dati personali per qualsiasi finalità di contrasto è lecito soltanto se si basa sulla legge e se l’interessato ha prestato il proprio consenso al trattamento per tale finalità, oppure se è necessario per lo svolgimento di uno dei compiti esercitati da un’autorità competente per tale finalità.

(29)

Analogamente a quanto stabilito dall’articolo 8 della direttiva (UE) 2016/680, al fine di garantire la liceità di un trattamento che rientra nell’ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati, tale trattamento deve essere effettuato «sulla base di disposizioni legislative». Per trattamento «lecito» si intende un trattamento autorizzato da una legge, dalla «common law» o da prerogative reali (45).

(30)

I poteri delle autorità competenti sono in generale disciplinati da statuti, il che significa che le loro funzioni e i loro poteri sono definiti chiaramente negli atti legislativi adottati dal parlamento (46). In alcuni casi la polizia, così come altre autorità competenti elencate nell’allegato 7 della legge del 2018 sulla protezione dei dati, può basarsi sulla «common law» per il trattamento di dati (47). La «common law» si è sviluppata mediante precedenti stabiliti attraverso decisioni degli organi giurisdizionali ed è rilevante nel contesto dei poteri a disposizione della polizia che derivano da tale fonte di diritto il loro dovere principale di proteggere il pubblico accertando e prevenendo i reati (48). Per esercitare tale dovere, la polizia dispone in ogni caso di poteri conferitile sia dalla «common law» che dalle leggi (49). Laddove la polizia disponga di un potere basato sulla legge ordinaria, tale potere prevale su qualsiasi potere derivante dalla «common law» (50).

(31)

Gli organi giurisdizionali hanno riconosciuto che la portata dei poteri e degli obblighi di un operatore di polizia sanciti dalla «common law» include «tutte le misure che gli sembrano necessarie per mantenere la pace, prevenire i reati e proteggere i beni da azioni lesive criminali» (51). I poteri derivanti dalla «common law» non sono poteri illimitati; sono soggetti a una serie di limitazioni, stabilite fra l’altro dagli organi giurisdizionali (52) e dalla legislazione, in particolare dalla legge del 1998 sui diritti umani e dalla Equality Act 2010 (53) (legge del 2010 sulla parità). Per le autorità competenti che trattano dati in virtù della parte 3 della legge del 2018 sulla protezione dei dati, ciò implica l’obbligo di esercitare i poteri derivanti dalla «common law» in maniera coerente con le disposizioni della legge del 2018 sulla protezione dei dati (54). La decisione di svolgere qualsiasi tipo di trattamento di dati deve inoltre tenere conto dei requisiti stabiliti negli orientamenti applicabili, come il codice di pratica MoPI e gli orientamenti specifici di uno dei paesi del Regno Unito (55). Alcuni documenti di orientamento sono emessi dal governo e da servizi di polizia operativa con l’obiettivo di garantire che gli operatori di polizia esercitino le loro competenze di trattamento entro i limiti stabiliti dalla «common law» o dalla legge ordinaria pertinente (56).

(32)

Le prerogative reali rappresentano un’altra componente della «legge» e fanno riferimento a determinati poteri conferiti alla Corona ed esercitabili dal potere esecutivo che non si basano sulla legge ordinaria, bensì derivano dalla sovranità del monarca (57). Sono rarissimi gli esempi di poteri di questo tipo pertinenti nel contesto delle attività di contrasto. Tra essi figurano, ad esempio, il quadro di mutua assistenza giudiziaria che consente la condivisione di dati da parte di un segretario di Stato con paesi terzi per finalità di contrasto; il potere di condividere i dati in questo modo non è sempre stabilito dalla legge ordinaria (58). Le prerogative reali sono vincolate dai principi della «common law» (59) e sono subordinate alla legge ordinaria, e di conseguenza soggette alle limitazioni previste dalla legge del 1998 sui diritti umani e dalla legge del 2018 sulla protezione dei dati (60).

(33)

Analogamente all’articolo 8 della direttiva (UE) 2016/680, il regime del Regno Unito impone alle autorità competenti, al fine di rispettare il principio di liceità, di assicurare che, quando il trattamento si basa su disposizioni legislative, sia anche «necessario» per svolgere il compito effettuato per finalità di contrasto. L’ICO fornisce orientamenti a questo proposito chiarendo che il trattamento deve costituire un modo mirato e proporzionato di conseguire la finalità. La base legittima non si applica se è possibile conseguire ragionevolmente la finalità impiegando altri mezzi meno intrusivi. Non è sufficiente sostenere che il trattamento è necessario perché si è deciso di svolgere le proprie attività in un determinato modo. Occorre appurare se il trattamento sia necessario per la finalità dichiarata (61).

(34)

Come menzionato al considerando 28, la sezione 35, paragrafo 2, della legge del 2018 sulla protezione dei dati prevede la possibilità di trattare dati personali sulla base del «consenso» della persona fisica.

(35)

Tuttavia il consenso non sembra essere una base giuridica pertinente per le operazioni di trattamento che rientrano nell’ambito di applicazione della presente decisione, le quali riguarderanno sempre dati trasferiti a norma della direttiva (UE) 2016/680 da un’autorità competente di uno Stato membro a un’autorità competente del Regno Unito. Di conseguenza, in genere esse non comporteranno il tipo di interazione diretta (raccolta) tra un’autorità pubblica e gli interessati che può essere basata sul consenso ai sensi della sezione 35, paragrafo 2, lettera a), della legge del 2018 sulla protezione dei dati.

(36)

Sebbene il ricorso al consenso non sia quindi considerato pertinente ai fini della valutazione condotta nel contesto della presente decisione, vale la pena sottolineare, per ragioni di completezza, che, in un contesto di contrasto, il trattamento non si fonda mai esclusivamente sul consenso, dato che l’autorità competente deve disporre sempre di un potere di base che le consente di trattare i dati (62). Nello specifico, e analogamente a quanto autorizzato a norma della direttiva (UE) 2016/680 (63), ciò significa che il consenso è una condizione aggiuntiva per consentire alcuni trattamenti limitati e specifici che non potrebbero essere svolti altrimenti, ad esempio la raccolta e il trattamento di un campione di DNA di una persona fisica che non è un indiziato: in tal caso il trattamento non può essere effettuato in assenza di consenso o in caso di revoca di tale consenso (64).

(37)

Nei casi che richiedono il consenso della persona fisica, tale consenso deve essere inequivocabile e comportare una chiara azione positiva (65). Le forze di polizia sono tenute a disporre di un’informativa sulla protezione dei dati che comprenda tra l’altro le informazioni necessarie per il valido utilizzo del consenso. Inoltre alcune di esse pubblicano materiale aggiuntivo su come rispettano la legislazione in materia di protezione dei dati, nonché sulle modalità e sui casi in cui ricorrono al consenso come base giuridica (66).

(38)

Garanzie specifiche dovrebbero essere applicate al trattamento di «categorie particolari» di dati. A tale riguardo, analogamente a quanto previsto dall’articolo 10 della direttiva (UE) 2016/680, la parte 3 della legge del 2018 sulla protezione dei dati offre garanzie più rigorose per il cosiddetto «trattamento di dati sensibili» (67).

(39)

Conformemente alla sezione 35, paragrafo 3, della legge del 1998 sulla protezione dei dati, i dati sensibili possono essere trattati dalle autorità competenti per finalità di contrasto soltanto in due casi: 1) l’interessato ha prestato il consenso al trattamento per la finalità di contrasto e, nel momento in cui viene effettuato il trattamento, il titolare del trattamento dispone di un documento adeguato di informativa in merito (68); oppure 2) il trattamento è strettamente necessario per la finalità di contrasto, il trattamento soddisfa almeno una delle condizioni di cui all’allegato 8 della legge del 2018 sulla protezione dei dati e al momento dello svolgimento del trattamento il titolare del trattamento dispone di un documento adeguato di informativa in merito (69).

(40)

Per quanto concerne il primo caso e come spiegato al considerando 38, il ricorso al consenso non è considerato rilevante nel tipo di situazione di trasferimento oggetto della presente decisione (70).

(41)

Quando il trattamento di dati sensibili non si basa sul consenso, può essere effettuato ricorrendo a una delle condizioni di cui all’allegato 8 della legge del 2018 sulla protezione dei dati. Tali condizioni si riferiscono a quanto segue: trattamento necessario per finalità previste dalla legge ordinaria; amministrazione della giustizia; tutela degli interessi vitali dell’interessato o di un’altra persona fisica; tutela di minori o di persone fisiche a rischio; diritti fatti valere in sede giudiziaria; atti giudiziari; prevenzione di frodi; archiviazione; casi nei quali i dati personali sono manifestamente resi pubblici dall’interessato. Fatta eccezione per il caso in cui i dati siano manifestamente resi pubblici, tutte le condizioni di cui all’allegato 8 sono soggette a una verifica dell’«effettiva necessità». Come chiarito dall’ICO, in questo contesto il concetto di «effettiva necessità» significa che il trattamento deve riguardare un’urgente esigenza sociale che non può essere ragionevolmente soddisfatta ricorrendo a mezzi meno intrusivi (71). Alcune condizioni sono inoltre soggette a limitazioni aggiuntive. Ad esempio, per invocare la condizione delle «finalità statutarie» e la condizione di «tutela» (allegato 8, paragrafi 1 e 4) occorre che sia effettuata un’ulteriore verifica dell’interesse pubblico sostanziale. Inoltre, per quanto riguarda le condizioni relative alla tutela di minori (allegato 8, paragrafo 4) l’interessato deve avere altresì un’età specifica ed essere considerato a rischio. Inoltre il titolare del trattamento può applicare la condizione prevista al paragrafo 4 dell’allegato 8 soltanto in circostanze specifiche (72). Analogamente vi sono limitazioni per le condizioni «atti giudiziari» e «prevenzione di frodi» (allegato 8, rispettivamente paragrafo 7 e 8), entrambe applicabili soltanto a specifici titolari del trattamento: alla condizione relativa agli atti giudiziari può ricorrere soltanto un organo giurisdizionale o un’altra autorità giudiziaria, mentre a quella relativa alla prevenzione di frodi possono ricorrere soltanto i titolari del trattamento che sono organizzazioni antifrode.

(42)

Quando infine il trattamento si basa su una delle condizioni elencate nell’allegato 8 e di cui alla sezione 42 della legge del 2018 sulla protezione dei dati, deve esistere un «documento adeguato di informativa», che spieghi le procedure attuate dal titolare del trattamento per assicurare il rispetto dei principi di protezione dei dati nonché le politiche del titolare del trattamento in materia di conservazione e cancellazione dei dati personali, e si applica l’obbligo di tenere un registro consolidato.

(43)

I dati personali dovrebbero essere trattati per una finalità specifica e, di conseguenza, dovrebbero essere utilizzati soltanto nella misura in cui l’uso non sia incompatibile con la finalità del trattamento. Tale principio di protezione dei dati è garantito dalla sezione 36 della legge del 2018 sulla protezione dei dati. Analogamente all’articolo 4, paragrafo 1, lettera b), della direttiva (UE) 2016/680, tale disposizione impone che: a) la finalità di contrasto per la quale si raccolgono i dati in qualsiasi occasione sia determinata, esplicita e legittima; e b) i dati personali così raccolti non vengano trattati in modo incompatibile con la finalità per cui sono stati raccolti.

(44)

Quando le autorità competenti trattano i dati per una finalità di contrasto, ciò può comprendere l’archiviazione, la ricerca scientifica o storica o finalità statistiche (73). In tali casi, la legge del 2018 sulla protezione dei dati chiarisce anche che l’archiviazione (o il trattamento per finalità di ricerca scientifica o storica e per finalità statistiche) non è consentita se viene effettuata in relazione a decisioni prese nei confronti di un determinato interessato o se ciò può arrecargli un danno o un disagio sostanziale (74).

(45)

I dati devono essere esatti e, se necessario, devono essere aggiornati. Devono inoltre essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Le sezioni 37 e 38 della legge del 2018 sulla protezione dei dati sanciscono tali principi in modo analogo all’articolo 4, paragrafo 1, lettere c), d) ed e), della direttiva (UE) 2016/680. Occorre adottare tutte le misure ragionevoli per assicurare che i dati personali inesatti (75) siano cancellati o rettificati senza indugio (76), tenendo conto della finalità di contrasto per la quale sono trattati (77), così come per garantire che i dati personali non esatti, incompleti o non più aggiornati non vengano trasmessi né resi disponibili per alcuna finalità di contrasto (78).

(46)

Analogamente all’articolo 7 della direttiva (UE) 2016/680, il regime di protezione dei dati del Regno Unito specifica che i dati personali basati su fatti devono, per quanto possibile, essere distinti da quelli basati su valutazioni personali (79). Laddove pertinente e per quanto possibile, occorre operare una chiara distinzione tra i dati personali relativi a diverse categorie di interessati, quali indiziati, persone condannate per un reato, vittime di reato e testimoni (80).

(47)

Ai sensi dell’articolo 5 della direttiva (UE) 2016/680, in linea di principio i dati non devono essere conservati più a lungo di quanto necessario a conseguire le finalità per cui sono trattati. Conformemente alla sezione 39 della legge del 2018 sulla protezione dei dati e analogamente all’articolo 5 di detta direttiva, è vietato conservare dati personali trattati per una finalità di contrasto per un periodo superiore a quello necessario in relazione alla finalità per la quale vengono trattati. Il regime giuridico del Regno Unito impone di fissare termini adeguati per l’esame periodico della necessità di continuare a conservare i dati personali per una qualsiasi finalità di contrasto. Ulteriori norme relative alle pratiche concernenti la conservazione dei dati personali e i termini applicabili sono stati stabiliti nella normativa pertinente e negli orientamenti che disciplinano i poteri e il funzionamento delle forze di polizia. Ad esempio in Inghilterra e nel Galles il codice di pratica MoPI del College of Policing, unitamente agli orientamenti APP sulla gestione delle informazioni di polizia, forniscono un quadro destinato ad assicurare un processo coerente di conservazione, riesame e cancellazione, basato sui rischi, per la gestione delle informazioni operative relative alle attività di polizia (81). Tale quadro stabilisce criteri chiari per l’intero servizio in merito alle modalità di creazione, condivisione, utilizzo e gestione delle informazioni nell’ambito della polizia e tra le singole forze di polizia e altre agenzie (82). La polizia è tenuta a rispettare il codice di pratica e il rispetto di tale obbligo viene verificato da Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services (83).

(48)

Il servizio di polizia dell’Irlanda del Nord (PSNI, Police Service of Northern Ireland) non è tenuto per legge a seguire il codice di pratica MoPI. Tuttavia, il quadro per la gestione delle informazioni relative alle attività di polizia adottato nel 2011 è integrato da un manuale del PSNI (84), che stabilisce politiche e procedure concernenti le modalità di applicazione del codice di pratica MoPI in Irlanda del Nord.

(49)

In Scozia le forze di polizia fanno riferimento alla procedura operativa standard (POS) per la conservazione di registrazioni (85) che sostiene la politica per la gestione delle registrazioni (86) del servizio di polizia. Tale procedura operativa standard stabilisce norme specifiche per la conservazione dei registri gestiti dalla polizia scozzese.

(50)

Oltre al requisito generale di esaminare i registri che si applica in tutto il Regno Unito, ulteriori dettagli sono forniti nel contesto di norme a livello locale. Ad esempio, per quanto concerne Inghilterra e Galles, la legge sulle prove nelle attività di polizia e di azione penale, come modificata dalla legge del 2012 sulla protezione delle libertà, prevede la conservazione delle impronte digitali e dei profili DNA nonché un regime specifico per le persone fisiche non condannate (87). La legge del 2012 sulla protezione delle libertà ha altresì creato la posizione del Biometrics Commissioner (88) (commissario per la conservazione e l’uso di materiale biometrico). Le norme specifiche sulle immagini di custodia sono riportate nel riesame del 2017 sulle immagini di custodia (89). Per quanto riguarda la Scozia, la legge del 1995 sulla procedura penale (Scozia) fissa le norme per l’ottenimento e la conservazione di impronte digitali e campioni biologici (90). Come nel caso di Inghilterra e Galles, la legislazione regolamenta la conservazione di dati biometrici in casi diversi (91).

(51)

I dati personali devono essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine le autorità pubbliche devono adottare misure tecniche od organizzative per proteggere i dati personali da possibili minacce. Tali misure devono essere valutate tenendo conto dello stato attuale delle conoscenze e dei costi connessi.

(52)

Questi principi si riflettono nella sezione 40 della legge del 2018 sulla protezione dei dati che prevede, analogamente all’articolo 4, paragrafo 1, lettera f), della direttiva (UE) 2016/680, che i dati personali trattati per qualsiasi finalità di contrasto siano trattati in maniera tale da garantirne un’adeguata sicurezza, utilizzando misure tecniche od organizzative adeguate. Ciò comprende la protezione dei dati da trattamenti non autorizzati o illeciti nonché da perdita, distruzione o danno accidentali (92). La sezione 66 della legge del 2018 sulla protezione dei dati specifica inoltre che ciascun titolare del trattamento e ciascun responsabile del trattamento deve attuare misure tecniche e organizzative adeguate per assicurare un livello di sicurezza adeguato ai rischi derivanti dal trattamento di dati personali. Secondo le note esplicative, il titolare del trattamento deve valutare i rischi e attuare misure di sicurezza adeguate basate su tale valutazione, ad esempio la cifratura o livelli specifici di nulla osta di sicurezza per il personale che tratta i dati (93). La valutazione deve tenere conto, ad esempio, della natura dei dati trattati e di qualsiasi altro fattore o circostanza pertinente che potrebbe incidere sulla sicurezza del trattamento.

(53)

Il regime che disciplina il rispetto dei principi di sicurezza dei dati è molto simile a quello stabilito dagli articoli da 29 a 31 della direttiva (UE) 2016/680. In particolare, nel caso di una violazione dei dati personali in relazione a dati personali per i quali il titolare del trattamento è responsabile, ai sensi della sezione 67, paragrafo 1, della legge del 2018 sulla protezione dei dati, detto titolare deve notificare tale violazione dei dati personali all’ICO senza ingiustificato ritardo, e laddove fattibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione (94). L’obbligo di notifica non si applica quando è improbabile che la violazione dei dati personali possa comportare un rischio per i diritti e le libertà di persone fisiche (95). Il titolare del trattamento deve documentare i fatti relativi a qualsiasi violazione dei dati personali, le sue conseguenze e i provvedimenti adottati per porvi rimedio in maniera tale da consentire all’ICO di verificare il rispetto della legge sulla protezione dei dati (96). Se un responsabile del trattamento viene a conoscenza di una violazione della sicurezza, deve notificare tale circostanza al titolare del trattamento senza ingiustificato ritardo (97).

(54)

Conformemente alla sezione 68, paragrafo 1, della legge del 2018 sulla protezione dei dati, se è probabile che una violazione dei dati personali costituisca un rischio elevato per i diritti e le libertà di persone fisiche, il titolare del trattamento deve informare l’interessato della violazione senza ingiustificato ritardo (98). Tale notifica deve comprendere le stesse informazioni della notifica all’ICO di cui al considerando 53. Tale obbligo non si applica se il titolare del trattamento ha attuato misure di protezione tecniche ed organizzative adeguate che sono state applicate ai dati personali interessati dalla violazione. Non si applica inoltre se il titolare del trattamento ha adottato misure successive grazie alle quali non è più probabile che il rischio elevato per i diritti e le libertà degli interessati si realizzi. Infine il titolare del trattamento non è tenuto a informare l’interessato qualora la notifica comporti uno sforzo sproporzionato (99). In tal caso le informazioni devono essere rese disponibili all’interessato in un altro modo altrettanto efficace, ad esempio per mezzo di una comunicazione pubblica (100). Se il titolare del trattamento non ha informato l’interessato in merito alla violazione, l’ICO, che ha ricevuto la notifica ai sensi della sezione 67 della legge sulla protezione dei dati, dopo aver considerato la probabilità che la violazione comporti un rischio elevato, può richiedere al titolare del trattamento di notificare la violazione all’interessato (101).

(55)

Gli interessati devono essere informati dei principali aspetti del trattamento dei dati personali che li riguardano. Questo principio di protezione dei dati si riflette nella sezione 44 della legge del 2018 sulla protezione dei dati che, analogamente all’articolo 13 della direttiva (UE) 2016/680, prevede che il titolare del trattamento abbia un dovere generale di mettere a disposizione degli interessati informazioni sul trattamento dei loro dati personali (mettendo tali informazioni a disposizione del pubblico in generale o in qualsiasi altro modo) (102). Tra le informazioni necessarie che devono essere messe a disposizione figurano: a) l’identità e i dati di contatto del titolare del trattamento; b) ove applicabile, i dati di contatto del responsabile della protezione dei dati; c) le finalità per le quali il titolare del trattamento tratta i dati personali; d) il fatto che gli interessati hanno il diritto di richiedere al titolare del trattamento l’accesso ai loro dati personali, la rettifica e la cancellazione degli stessi, oppure la limitazione del loro trattamento; e) l’esistenza del diritto di proporre reclamo all’ICO e i dati di contatto di quest’ultimo (103).

(56)

In casi specifici, al fine di consentire l’esercizio dei diritti di un interessato in virtù della legge del 2018 sulla protezione dei dati (ad esempio quando i dati personali trattati sono stati raccolti all’insaputa dell’interessato), il titolare del trattamento deve fornire inoltre informazioni in merito ai seguenti aspetti: a) la base giuridica per il trattamento; b) il periodo di conservazione dei dati personali oppure, se non è possibile fornire questa informazione, i criteri utilizzati per determinare tale periodo; c) se del caso, le categorie di destinatari dei dati personali (anche in paesi terzi o in seno a organizzazioni internazionali); d) ulteriori informazioni necessarie per consentire l’esercizio dei diritti dell’interessato in virtù della parte 3 della legge del 2018 sulla protezione dei dati (104).

(57)

Gli interessati devono disporre di diversi diritti azionabili. Il capo 3 della parte 3 della legge del 2018 sulla protezione dei dati riconosce alle persone fisiche diritti di accesso, rettifica, cancellazione e limitazione (105) paragonabili a quelli previsti al capo 3 della direttiva (UE) 2016/680.

(58)

Il diritto di accesso è sancito dalla sezione 45 della legge del 2018 sulla protezione dei dati. Innanzitutto una persona fisica ha il diritto di ottenere una conferma dal titolare del trattamento in merito al fatto che i suoi dati personali siano o meno oggetto di trattamento (106). In secondo luogo, laddove i dati personali siano oggetto di trattamento, l’interessato ha il diritto di accedere ai dati e ricevere le seguenti informazioni in merito al trattamento: a) le finalità e la base giuridica del trattamento; b) le categorie di dati interessate; c) il destinatario a cui i dati sono stati divulgati; d) il periodo per il quale saranno conservati i dati personali; e) l’esistenza del diritto dell’interessato alla rettifica e alla cancellazione dei dati personali; f) il diritto di proporre reclamo; g) qualsiasi informazione sull’origine dei dati personali interessati (107).

(59)

Ai sensi della sezione 46 della legge del 2018 sulla protezione dei dati, l’interessato ha il diritto di richiedere al titolare del trattamento di rettificare dati personali inesatti che lo riguardano. Il titolare del trattamento deve rettificare (o, laddove i dati siano inesatti perché incompleti, completare) i dati senza ingiustificato ritardo. Se i dati personali devono essere conservati a fini probatori, il titolare del trattamento deve, anziché rettificare i dati personali, limitarne il trattamento (108).

(60)

La sezione 47 della legge del 2018 sulla protezione dei dati riconosce alle persone fisiche il diritto alla cancellazione e alla limitazione del trattamento. Il titolare del trattamento deve (109) cancellare i dati personali senza ingiustificato ritardo quando il trattamento dei dati personali violerebbe uno dei principi di protezione dei dati, le basi giuridiche per il trattamento o le garanzie relative all’archiviazione e al trattamento di dati sensibili. Il titolare del trattamento deve altresì cancellare i dati qualora sia soggetto a un obbligo giuridico che glielo impone. Se i dati personali devono essere conservati a fini probatori, il titolare del trattamento deve limitarne il trattamento (anziché cancellarli) (110). Il titolare del trattamento deve limitare il trattamento dei dati personali se un soggetto ne contesta l’esattezza, ma non è possibile accertare se sono esatti o meno (111).

(61)

Se l’interessato richiede la rettifica o la cancellazione di dati personali o la limitazione del loro trattamento, il titolare del trattamento deve informare l’interessato per iscritto se la richiesta è stata accolta e, qualora sia stata rifiutata, informarlo dei motivi del rifiuto e dei mezzi di ricorso disponibili (diritto dell’interessato di presentare una richiesta all’ICO affinché indaghi per stabilire se la limitazione è stata applicata lecitamente, diritto di proporre reclamo presso l’ICO e diritto di presentare un’istanza per ottenere un’ordinanza da un organo giurisdizionale che intimi il rispetto della normativa) (112).

(62)

Laddove il titolare del trattamento rettifichi dati personali ricevuti da un’altra autorità competente, deve notificarlo a quest’ultima (113). Qualora rettifichi, cancelli o limiti il trattamento di dati personali che ha divulgato, il titolare del trattamento deve informare i destinatari, i quali a loro volta devono analogamente rettificare, cancellare o limitare il trattamento dei dati personali (nella misura in cui ne siano responsabili) (114).

(63)

L’interessato ha inoltre il diritto di essere informato senza ingiustificato ritardo dal titolare del trattamento in merito a una violazione dei dati personali quando ciò potrebbe comportare un rischio elevato per i diritti e le libertà di persone fisiche (115).

(64)

In relazione a tutti questi diritti dell’interessato e analogamente a quanto previsto dall’articolo 12 della direttiva (UE) 2016/680, il titolare del trattamento è tenuto ad assicurare che qualsiasi informazione sia fornita all’interessato in forma concisa, intelligibile e facilmente accessibile (116); inoltre, ove possibile, tali informazioni dovrebbero essere fornite nella stessa forma della richiesta (117). Il titolare del trattamento deve soddisfare una richiesta dell’interessato senza ritardi ingiustificati e in ogni caso, in linea di principio, entro un mese dalla richiesta (118). Laddove il titolare del trattamento nutra dubbi ragionevoli in merito all’identità della persona fisica, può richiedere informazioni supplementari e ritardare la gestione della richiesta fino a quando non ne abbia accertato l’identità. Il titolare del trattamento può richiedere il pagamento di diritti ragionevoli o rifiutarsi di dare seguito alla richiesta quando la ritiene manifestamente infondata (119). L’ICO ha fornito orientamenti in merito ai casi nei quali una richiesta è considerata manifestamente infondata o eccessiva e nei quali è possibile richiedere un pagamento (120).

(65)

Inoltre, ai sensi della sezione 53, paragrafo 4, della legge del 2018 sulla protezione dei dati, il segretario di Stato può specificare, mediante regolamenti, l’ammontare massimo dei diritti.

(66)

Un’autorità competente può, in determinate circostanze, limitare determinati diritti dell’interessato: il diritto di accesso (121), di essere informato (122), di venire a conoscenza di una violazione dei dati personali (123) e di essere informato in merito al motivo del rifiuto di una richiesta di rettifica o cancellazione (124). Analogamente al regime di cui al capo III della direttiva (UE) 2016/680, l’autorità competente può applicare una limitazione soltanto quando, considerati i diritti fondamentali e gli interessi legittimi dell’interessato, tale limitazione è necessaria e proporzionata per: a) non ostacolare indagini, inchieste o procedimenti ufficiali o giudiziari; b) non compromettere la prevenzione, l’accertamento, l’indagine e il perseguimento di reati o l’esecuzione di sanzioni penali; c) proteggere la sicurezza pubblica; d) proteggere la sicurezza nazionale; e) proteggere i diritti e le libertà altrui.

(67)

L’ICO ha fornito orientamenti sull’applicazione di tali limitazioni. Conformemente a tali orientamenti, i titolari del trattamento devono effettuare un’analisi caso per caso per trovare un equilibrio tra i diritti della persona fisica e i danni che causerebbe una divulgazione. In particolare essi devono giustificare qualsiasi limitazione in quanto misura necessaria e proporzionata e possono applicare limitazioni soltanto nei confronti di ciò che rischia di compromettere le finalità di cui sopra (125).

(68)

Le autorità competenti hanno pubblicato altri documenti di orientamento che forniscono informazioni dettagliate su tutti gli aspetti della legislazione in materia di protezione dei dati, compresa l’applicazione delle limitazioni dei diritti degli interessati (126). Ad esempio, in relazione alla sezione 45, paragrafo 4, il Data Protection Manual del National Police Chief’s Counsel afferma: «è importante osservare che le limitazioni possono essere applicate soltanto nella misura necessaria e possono essere applicate soltanto purché sia necessario. Di conseguenza non è consentito applicare in maniera indiscriminata la limitazione a tutti i dati personali di un richiedente o applicarla in modo permanente. In merito a quest’ultimo punto, spesso accade che dati personali raccolti all’insaputa dell’interessato che è un indiziato nel contesto di un’indagine debbano inizialmente essere protetti dalla divulgazione a tale persona per evitare di compromettere l’indagine mentre è in corso; tuttavia in un secondo momento la divulgazione non causerebbe danni se i dati personali fossero divulgati alla persona in questione durante il suo interrogatorio. Le forze di polizia devono adottare processi che garantiscano che l’applicazione di tali limitazioni avvenga soltanto nella misura necessaria e soltanto per la durata necessaria» (127). Tali orientamenti forniscono altresì esempi di casi nei quali è probabile il ricorso a ciascuna di tali limitazioni (128).

(69)

Inoltre, in relazione alla possibilità di limitare uno dei diritti di cui sopra per proteggere la «sicurezza nazionale», un titolare del trattamento può richiedere un certificato firmato da un ministro o dal procuratore generale (o dall’avvocato generale per la Scozia) che certifichi che la limitazione di tali diritti è una misura necessaria e proporzionata per la protezione della sicurezza nazionale (129). Il governo del Regno Unito ha pubblicato orientamenti sui certificati di sicurezza nazionale ai sensi della legge del 2018 sulla protezione dei dati, in cui si sottolinea che qualsiasi limitazione dei diritti degli interessati a favore della protezione della sicurezza nazionale deve essere proporzionata e necessaria (130) (per ulteriori dettagli sui certificati di sicurezza nazionale si vedano i considerando da 131 a 134).

(70)

Inoltre, laddove sia limitato un diritto di un interessato, l’autorità competente deve informarlo, senza ingiustificato ritardo, del fatto che i suoi diritti sono stati limitati, dei motivi di tale limitazione e dei mezzi di ricorso disponibili, fatto salvo il caso in cui fornire tali informazioni comprometta il motivo per il quale la limitazione è stata applicata (131). Come ulteriore garanzia contro l’uso improprio delle limitazioni, il titolare del trattamento deve registrare i motivi per cui limita le informazioni e rendere la registrazione disponibile all’ICO, laddove richiesto (132).

(71)

Se il titolare del trattamento si rifiuta di fornire ulteriori informazioni sulla trasparenza oppure nega l’accesso o rifiuta una richiesta di rettifica, cancellazione o limitazione del trattamento, la persona fisica può richiedere all’ICO di indagare per stabilire se il titolare del trattamento ha applicato la limitazione in maniera lecita (133). L’interessato può inoltre promuovere un reclamo presso l’ICO o adire un organo giurisdizionale affinché quest’ultimo ordini al titolare del trattamento di soddisfare la richiesta (134).

(72)

Le sezioni 49 e 50 della legge del 2018 sulla protezione dei dati trattano rispettivamente i diritti relativi al processo decisionale automatizzato e alle garanzie da applicare (135). Analogamente a quanto previsto dall’articolo 11 della direttiva (UE) 2016/680, il titolare del trattamento può prendere una decisione determinante basata esclusivamente sul trattamento automatizzato di dati personali soltanto se ciò è necessario o autorizzato dalla legge (136). Una decisione è determinante se produce effetti giuridici negativi nei confronti dell’interessato o incide significativamente sulla sua persona (137).

(73)

Laddove il titolare del trattamento sia tenuto o autorizzato dalla legge a prendere una decisione significativa, la sezione 50 della legge del 2018 sulla protezione dei dati stabilisce le garanzie che si applicano a tale decisione (definita come «decisione significativa qualificativa»). Non appena ragionevolmente praticabile, il titolare del trattamento deve notificare all’interessato che è stata adottata tale decisione. L’interessato dispone quindi di un mese di tempo per richiedere al titolare del trattamento di riconsiderare la decisione o di adottare una nuova decisione non basata esclusivamente sul trattamento automatizzato. Il titolare del trattamento deve prendere in considerazione la richiesta e informare l’interessato in merito agli esiti di tale valutazione. La legge del 2018 sulla protezione dei dati riconosce al segretario di Stato il potere di adottare regolamenti che prevedano garanzie supplementari (138). Non sono ancora stati adottati regolamenti di tale sorta.

(74)

Il livello di protezione dei dati personali trasferiti da un’autorità di contrasto di uno Stato membro verso un’autorità di contrasto del Regno Unito non deve essere compromesso da ulteriori trasferimenti di tali dati a destinatari che si trovano in un paese terzo. Tali «trasferimenti successivi», che dal punto di vista dell’autorità di contrasto del Regno Unito costituiscono trasferimenti internazionali dal Regno Unito, dovrebbero essere autorizzati soltanto nel caso in cui anche il destinatario successivo al di fuori del Regno Unito sia soggetto a norme che garantiscono un livello di protezione analogo a quello garantito dall’ordinamento giuridico del Regno Unito.

(75)

Il regime del Regno Unito in materia di trasferimenti internazionali è disciplinato dalla parte 3, capo 5, della legge del 2018 sulla protezione dei dati (139) e riflette l’approccio adottato nel capo V della direttiva (UE) 2016/680. In particolare, al fine di trasferire dati personali verso un paese terzo, un’autorità competente deve soddisfare tre condizioni: a) il trasferimento deve essere necessario per una finalità di contrasto; b) il trasferimento i) deve essere basato su un regolamento di adeguatezza in relazione a tale paese terzo; ii) qualora non sia basato su un regolamento di adeguatezza, si deve basare sull’esistenza di garanzie adeguate; iii) qualora non sia basato su un regolamento di adeguatezza né su garanzie adeguate, si deve basare su circostanze speciali; c) il destinatario del trasferimento deve essere: i) un’autorità competente (ossia l’equivalente di un’autorità competente) nel paese terzo; ii) una «organizzazione internazionale pertinente», ad esempio un organismo internazionale che svolge funzioni corrispondenti a una delle finalità di contrasto; o iii) una persona diversa da un’autorità competente, ma soltanto se il trasferimento è strettamente necessario per lo svolgimento di una delle finalità di contrasto; non vi sono diritti e libertà fondamentali dell’interessato che prevalgano sull’interesse pubblico che rende necessario il trasferimento; un trasferimento dei dati personali a un’autorità competente nel paese terzo sarebbe inefficace o inadeguato; e il destinatario è informato delle finalità per le quali i dati possono essere trattati (140).

(76)

I regolamenti di adeguatezza relativi a un paese terzo, un territorio o un settore all’interno di un paese terzo, un’organizzazione internazionale o una descrizione (141) di tale paese, territorio, settore od organizzazione sono adottati dal segretario di Stato. Per quanto concerne il livello di protezione da soddisfare, il segretario di Stato deve valutare se tale territorio/settore/organizzazione garantisce un livello adeguato di protezione dei dati personali. La sezione 74 A, paragrafo 4, della legge del 2018 sulla protezione dei dati specifica che, a tal fine, il segretario di Stato deve considerare una serie di aspetti che riflettono quelli elencati all’articolo 36 della direttiva (UE) 2016/680 (142). A tale riguardo, dalla fine del periodo di transizione la parte 3 della legge del 2018 sulla protezione dei dati costituisce «legislazione interna derivata da quella dell’Unione» che, come spiegato, sarà interpretata dagli organi giurisdizionali del Regno Unito in conformità con la giurisprudenza pertinente della Corte di giustizia antecedente al recesso del Regno Unito dall’Unione e con i principi generali del diritto dell’Unione, così come efficaci immediatamente prima della fine del periodo di transizione. Rientra in tale contesto la nozione di «equivalenza sostanziale» che si applicherà quindi alle valutazioni di adeguatezza effettuate dalle autorità del Regno Unito.

(77)

Per quanto riguarda la procedura, i regolamenti sono soggetti ai requisiti procedurali «generali» previsti dalla sezione 182 della legge del 2018 sulla protezione dei dati. Secondo tale procedura, quando propone futuri regolamenti di adeguatezza del Regno Unito il segretario di Stato deve consultare l’ICO (143). Una volta adottati dal segretario di Stato, tali regolamenti sono presentati al parlamento e sottoposti alla procedura di «risoluzione negativa», nel contesto della quale entrambe le camere del parlamento possono esaminarli e hanno la facoltà di presentare una mozione di annullamento entro un termine di 40 giorni (144).

(78)

Ai sensi della sezione 74B, paragrafo 1, della legge del 2018 sulla protezione dei dati, i regolamenti di adeguatezza devono essere riesaminati a intervalli di tempo non superiori a quattro anni e il segretario di Stato deve monitorare continuativamente gli sviluppi in paesi terzi ed organizzazioni internazionali che potrebbero incidere sulle decisioni di emettere regolamenti di adeguatezza o di modificare o revocare tali regolamenti. Se il segretario di Stato viene a conoscenza del fatto che un determinato paese o una determinata organizzazione non garantisce più un livello adeguato di protezione dei dati personali, deve, nella misura necessaria, modificare o revocare i regolamenti e avviare consultazioni con il paese terzo o l’organizzazione internazionale in questione in maniera da porre rimedio alla mancanza di un livello adeguato di protezione.

(79)

Analogamente a quanto previsto dall’articolo 37 della direttiva (UE) 2016/680, in assenza di un regolamento di adeguatezza, un trasferimento di dati personali nel settore delle attività di contrasto è possibile qualora siano in atto garanzie adeguate. Tali garanzie sono fornite mediante: a) uno strumento giuridicamente vincolante contenente garanzie adeguate per la protezione dei dati personali; o b) una valutazione effettuata dal titolare del trattamento che, avendo esaminato tutte le circostanze relative al trasferimento, conclude che esistono garanzie adeguate per proteggere i dati (145). Inoltre, quando i trasferimenti si basano su garanzie adeguate, la legge del 2018 sulla protezione dei dati prevede che, oltre al normale ruolo di vigilanza dell’ICO, le autorità competenti forniscano a quest’ultimo informazioni specifiche sui trasferimenti (146).

(80)

Se non si basa su una decisione di adeguatezza né su garanzie adeguate, il trasferimento può avvenire soltanto in determinate circostanze specifiche, indicate come «circostanze speciali» (147). Ciò si verifica quando il trasferimento è necessario: a) per tutelare un interesse vitale dell’interessato o di un’altra persona; b) per salvaguardare i legittimi interessi dell’interessato; c) per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; d) in singoli casi per qualsiasi finalità di contrasto; o e) in singoli casi per una finalità legale (ad esempio in relazione a procedimenti giudiziari o per ottenere consulenza legale) (148). Si può notare che le lettere d) ed e) non si applicano se i diritti e le libertà dell’interessato prevalgono sull’interesse pubblico al trasferimento (149). Tale serie di circostanze corrisponde alle situazioni e alle condizioni specifiche che si qualificano come «deroghe» ai sensi dell’articolo 38 della direttiva (UE) 2016/680.

(81)

In tali circostanze occorre documentare e trasmettere all’ICO, su richiesta, la data, l’ora e la giustificazione del trasferimento, il nome del destinatario e qualsiasi altra informazione pertinente in merito a quest’ultimo, così come una descrizione dei dati personali trasferiti (150).

(82)

La sezione 78 della legge del 2018 sulla protezione dei dati disciplina lo scenario dei «trasferimenti successivi», ossia i casi in cui dati personali che sono stati trasferiti dal Regno Unito a un paese terzo vengono successivamente trasferiti in un altro paese terzo o ad un’organizzazione internazionale. Conformemente alla sezione 78, paragrafo 1, il titolare del trattamento che trasferisce i dati dal Regno Unito deve imporre come condizione del trasferimento il fatto che i dati non siano ulteriormente trasferiti verso un paese terzo senza l’autorizzazione del titolare del trattamento che effettua il trasferimento. Inoltre, conformemente alla sezione 78, paragrafo 3, e analogamente a quanto previsto all’articolo 35, paragrafo 1, lettera e), della direttiva (UE) 2016/680, qualora sia richiesta un’autorizzazione di questo tipo si applica una serie di prescrizioni sostanziali. Nello specifico, nel decidere se autorizzare o meno il trasferimento, un’autorità competente deve assicurarsi che l’ulteriore trasferimento sia necessario per una finalità di contrasto e considerare, tra gli altri fattori: a) la gravità delle circostanze che hanno portato alla richiesta di autorizzazione; b) la finalità per la quale i dati personali sono stati originariamente trasferiti; e c) le norme per la protezione dei dati personali che si applicano nel paese terzo o all’organizzazione internazionale verso cui i dati personali verrebbero trasferiti.

(83)

Inoltre, qualora i dati oggetto di ulteriore trasferimento dal Regno Unito siano stati originariamente trasferiti dall’Unione europea, si applicano garanzie supplementari.

(84)

In primo luogo, la sezione 73, paragrafo 1, lettera b), della legge del 2018 sulla protezione dei dati - analogamente all’articolo 35, paragrafo 1, lettera c), della direttiva (UE) 2016/680 - prevede che, qualora i dati personali siano stati originariamente trasmessi o altrimenti messi a disposizione del titolare del trattamento o di un’altra autorità competente da uno Stato membro, quest’ultimo o qualsiasi persona stabilita in tale Stato membro che è un’autorità competente ai fini della direttiva (UE) 2016/680 debba aver autorizzato il trasferimento in conformità con la normativa di tale Stato membro.

(85)

Tuttavia, analogamente all’articolo 35, paragrafo 2, della direttiva (UE) 2016/680, tale autorizzazione non è richiesta quando: a) il trasferimento è necessario per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo o agli interessi vitali di uno Stato membro; e b) tale autorizzazione non può essere ottenuta tempestivamente. In tal caso l’autorità nello Stato membro che sarebbe stata responsabile della decisione in merito all’autorizzazione del trasferimento deve essere informata senza indugio (151).

(86)

In secondo luogo, lo stesso si applica per i dati originariamente trasferiti dall’Unione europea al Regno Unito e in seguito ulteriormente trasferiti dal Regno Unito a un paese terzo, che a sua volta li trasferisca ulteriormente a un altro paese terzo. In tal caso, conformemente alla sezione 78, paragrafo 4, l’autorità competente del Regno Unito non può autorizzare quest’ultimo trasferimento, a norma della sezione 78, paragrafo 1, a meno che lo Stato membro che ha originariamente trasferito i dati in questione, o qualsiasi persona basata in tale Stato membro che sia un’autorità competente ai fini della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, non abbia autorizzato il trasferimento in conformità della legge dello Stato membro stesso. Tali misure di salvaguardia sono importanti in quanto permettono alle autorità degli Stati membri di garantire la continuità della protezione, nel rispetto della legge dell’UE sulla protezione dei dati, lungo tutta la «catena di trasferimento».

(87)

Questo nuovo quadro per i trasferimenti internazionali è diventato applicabile alla fine del periodo di transizione (152). Tuttavia i punti da 10 a 12 dell’allegato 21 (introdotto dai regolamenti DPPC) prevedono che, a partire dalla fine del periodo di transizione, alcuni trasferimenti di dati personali siano trattati come se fossero basati su regolamenti di adeguatezza. Tra tali trasferimenti figurano quelli verso uno Stato membro, uno Stato EFTA, un paese terzo che è oggetto di una decisione di adeguatezza dell’UE alla fine del periodo di transizione e il territorio di Gibilterra. Di conseguenza i trasferimenti verso tali paesi possono continuare come prima del recesso del Regno Unito dall’Unione. Dopo la fine del periodo di transizione, il segretario di Stato deve condurre un riesame di tali accertamenti di adeguatezza entro un termine di quattro anni, ossia entro la fine di dicembre 2024. Secondo la spiegazione fornita dalle autorità del Regno Unito, sebbene il segretario di Stato debba intraprendere tale riesame entro la fine di dicembre 2024, le disposizioni transitorie non comprendono una norma relativa alla scadenza e le disposizioni transitorie pertinenti non cesseranno automaticamente di avere effetto se il riesame non viene completato entro la fine di dicembre del 2024.

(88)

Secondo il principio di responsabilizzazione, le autorità pubbliche che trattano dati sono tenute a mettere in atto misure tecniche e organizzative adeguate per rispettare effettivamente i loro obblighi in materia di protezione dei dati e per essere in grado di dimostrare tale rispetto, in particolare all’autorità di controllo competente.

(89)

Tale principio si riflette nella sezione 56 della legge del 2018 sulla protezione dei dati, che introduce un obbligo generale di responsabilizzazione per il titolare del trattamento, ossia l’obbligo di attuare misure tecniche e organizzative adeguate per assicurare, e poter dimostrare, che il trattamento dei dati personali è conforme ai requisiti di cui alla parte 3 della legge del 2018 sulla protezione dei dati. Le misure attuate devono essere riviste e aggiornate se necessario e, se proporzionato in relazione al trattamento, comprendere politiche adeguate di protezione dei dati.

(90)

In linea con il capo IV della direttiva (UE) 2016/680, gli articoli da 55 a 71 della legge del 2018 sulla protezione dei dati prevedono diversi meccanismi per garantire la responsabilizzazione e consentire ai titolari del trattamento e ai responsabili del trattamento di dimostrare la conformità. In particolare i titolari del trattamento sono tenuti ad attuare misure di protezione dei dati fin dalla progettazione e per impostazione predefinita, ossia a garantire che i principi di protezione dei dati siano attuati in modo efficace, e sono tenuti a mantenere registri di tutte le categorie di trattamenti per i quali il titolare del trattamento è responsabile (comprese le informazioni sull’identità del titolare del trattamento, i dati di contatto del responsabile della protezione dei dati, le finalità del trattamento, le categorie di destinatari delle comunicazioni e una descrizione delle categorie di interessati e dei dati personali) e a mantenere tali registri a disposizione dell’ICO su richiesta. Il titolare del trattamento e il responsabile del trattamento devono altresì tenere registri per determinate operazioni di trattamento e metterli a disposizione dell’ICO (153). I titolari del trattamento sono altresì specificamente tenuti a cooperare con l’ICO nell’esecuzione dei compiti spettanti a quest’ultimo.

(91)

La legge del 2018 sulla protezione dei dati stabilisce requisiti supplementari per un trattamento che determini probabilmente un rischio elevato per i diritti e le libertà delle persone fisiche, tra cui l’obbligo di effettuare valutazioni d’impatto sulla protezione dei dati e di consultare l’ICO prima del trattamento qualora una di tali valutazioni indichi che il trattamento comporta un rischio elevato per i diritti e le libertà delle persone fisiche (in assenza di misure per attenuare il rischio).

(92)

Il titolare del trattamento deve inoltre nominare un responsabile della protezione dei dati, fatto salvo il caso in cui tale titolare sia un organo giurisdizionale o un’altra autorità giudiziaria che agisce nell’adempimento delle sue funzioni giurisdizionali (154). Il titolare del trattamento deve garantire che il responsabile della protezione dei dati sia coinvolto in tutte le questioni relative alla protezione dei dati personali, disponga delle risorse necessarie nonché dell’accesso ai dati personali e alle operazioni di trattamento, e possa svolgere i propri compiti in maniera indipendente. I compiti del responsabile della protezione dei dati sono stabiliti nella sezione 71 della legge del 2018 sulla protezione dei dati e comprendono la fornitura di informazioni e consulenza, il controllo del rispetto delle norme e la cooperazione con l’ICO, in relazione al quale egli funge da punto di contatto. Nello svolgimento dei suoi compiti, il responsabile della protezione dei dati deve prendere in considerazione i rischi associati alle operazioni di trattamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento.

(93)

Al fine di garantire un livello adeguato di protezione dei dati anche nella pratica, deve esistere un’autorità di controllo indipendente cui siano conferiti i poteri di monitorare e assicurare il rispetto delle norme in materia di protezione dei dati. Tale autorità deve agire in piena indipendenza e imparzialità nell’esercizio delle proprie funzioni e dei propri poteri.

(94)

Nel Regno Unito la vigilanza e l’applicazione del rispetto del GDPR del Regno Unito e della legge del 2018 sulla protezione dei dati spettano all’Information Commissioner (ICO) (155), il quale vigila anche sul trattamento dei dati personali da parte delle autorità competenti che rientra nell’ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati (156). L’ICO è una «corporation sole», ossia un’entità giuridica distinta costituita da un socio unico. Nelle sue attività l’ICO è sostenuto da un ufficio, il cui personale al 31 marzo 2020 era composto di 768 membri permanenti (157). Il dipartimento di riferimento dell’ICO è il dipartimento per il Digitale, la cultura, i media e lo sport (158).

(95)

L’indipendenza dell’ICO è sancita esplicitamente dall’articolo 52 del GDPR del Regno Unito, che riflette i requisiti previsti all’articolo 52, paragrafi da 1 a 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (159). L’ICO deve agire in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al GDPR del Regno Unito, non subire pressioni esterne, né dirette, né indirette, e non sollecitare né accettare istruzioni da alcuno. Deve inoltre astenersi da qualunque azione incompatibile con le proprie funzioni e per tutta la durata del mandato non può esercitare alcuna altra attività incompatibile, remunerata o meno.

(96)

Le condizioni per la nomina e la revoca dell’incarico dell’ICO sono stabilite nell’allegato 12 della legge del 2018 sulla protezione dei dati. L’ICO è nominato dalla Regina su raccomandazione del governo in seguito a un concorso equo e aperto. Il candidato deve disporre di qualifiche, competenze e capacità adeguate. In conformità con il Governance Code on Public Appointments (160) (codice sulla governance sulle nomine pubbliche), un gruppo consultivo di valutazione stila un elenco di candidati nominabili. Prima che il segretario di Stato del dipartimento per il Digitale, la cultura, i media e lo sport finalizzi la propria decisione, la commissione ad hoc pertinente del parlamento deve effettuare uno scrutinio pre-nomina. La posizione di tale commissione è resa pubblica (161).

(97)

L’ICO resta in carica per un mandato massimo di sette anni. Il suo incarico può essere revocato dalla Regina a seguito di una raccomandazione formulata da entrambe le camere del parlamento (162). Non può essere presentata alcuna richiesta di rimozione dall’incarico dell’ICO ad alcuna delle camere del parlamento fintantoché un ministro non abbia presentato a tale camera una relazione nella quale si dichiara convinto che l’ICO si sia reso colpevole di una colpa grave e/o non soddisfi più le condizioni richieste per lo svolgimento delle sue funzioni (163).

(98)

I finanziamenti dell’ICO provengono da tre fonti: i) i contributi spese in materia di protezione dei dati versati dai titolari del trattamento, che sono fissati da regolamenti di un segretario di Stato (164) e ammontano all’85 %-90 % del bilancio annuale dell’ICO (165); ii) una sovvenzione che può essere corrisposta dal governo all’ICO ed è principalmente utilizzata per finanziare i costi operativi dell’ICO in relazione a compiti concernenti attività non correlate alla protezione di dati (166); iii) commissioni addebitate per servizi (167). Attualmente, tali commissioni non vengono addebitate.

(99)

Le funzioni generali dell’ICO in relazione al trattamento dei dati personali a cui si applica la parte 3 della legge del 2018 sulla protezione dei dati sono stabilite nell’allegato 13 di quest’ultima legge. Tali funzioni comprendono il monitoraggio e l’applicazione delle norme di cui alla parte 3 della legge del 2018 sulla protezione dei dati, la promozione della sensibilizzazione del pubblico, attività di consulenza a favore del parlamento, del governo e di altre istituzioni in merito a misure legislative e amministrative, la promozione della consapevolezza dei titolari del trattamento e dei responsabili del trattamento in merito ai loro obblighi, la comunicazione di informazioni a un interessato in merito all’esercizio dei diritti di quest’ultimo, e lo svolgimento di indagini. Ai fini del mantenimento dell’indipendenza del potere giudiziario, l’ICO non è autorizzato a esercitare le sue funzioni in relazione al trattamento di dati personali da parte di un soggetto o di un organo giurisdizionale che agisce nell’esercizio delle proprie funzioni giurisdizionali. Tuttavia la vigilanza sul potere giudiziario è assicurata da organismi specializzati, illustrati in appresso.

(100)

L’ICO ha poteri generali di indagine, correttivi, autorizzativi e consultivi in relazione al trattamento di dati personali cui si applica la parte 3 della legge del 2018 sulla protezione dei dati. L’ICO dispone dei poteri per notificare al titolare del trattamento o al responsabile del trattamento una presunta violazione della parte 3, di rivolgere avvertimenti al titolare del trattamento o al responsabile sul fatto che i trattamenti previsti violano verosimilmente le disposizioni della parte 3, e di rivolgere ammonimenti al titolare del trattamento o al responsabile del trattamento laddove i trattamenti abbiano violato le disposizioni della parte 3. Inoltre, su iniziativa propria o su richiesta, l’ICO può emettere pareri rivolti al parlamento del Regno Unito, al governo o ad altre istituzioni e ad altri organismi, nonché al pubblico, in merito a qualsiasi questione relativa alla protezione dei dati personali (168).

(101)

L’ICO dispone anche dei poteri per:

(102)

Il documento Regulatory Action Policy dell’ICO stabilisce le circostanze nelle quali quest’ultimo emetterà rispettivamente un avviso di informazione, valutazione, esecuzione e irrogazione di sanzioni (173). Un avviso di esecuzione può imporre i requisiti che l’ICO ritiene opportuni al fine di porre rimedio a un inadempimento. Un avviso di irrogazione di sanzioni impone a una persona di corrispondere all’ICO un importo specificato nell’avviso stesso; può essere notificato in caso di mancato rispetto di talune disposizioni della legge del 2018 sulla protezione dei dati (174) oppure può essere notificato a un titolare del trattamento o a un responsabile del trattamento che non ha rispettato un avviso di informazione, un avviso di valutazione o un avviso di esecuzione.

(103)

Più specificamente, nel decidere se notificare o meno un avviso di irrogazione di sanzioni a un titolare del trattamento o a un responsabile del trattamento e determinare l’ammontare della sanzione, l’ICO deve tenere conto delle questioni elencate alla sezione 155, paragrafo 3, della legge del 2018 sulla protezione dei dati, tra cui la natura e la gravità della violazione, il carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati, il grado di responsabilità del titolare del trattamento o del responsabile del trattamento (tenendo conto delle misure tecniche e organizzative da essi messe in atto) nonché eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento, le categorie di dati personali interessate dalla violazione e la possibilità o meno che la sanzione sia effettiva, proporzionata e dissuasiva.

(104)

L’ammontare massimo della sanzione che può essere comminata mediante un avviso di irrogazione di sanzioni è a) 17 500 000 GBP in relazione al mancato rispetto di principi di protezione dei dati (sezioni 35, 36, 37, sezione 38, paragrafo 1, sezione 39, paragrafo 1, e sezione 40 della legge del 2018 sulla protezione dei dati), di obblighi di trasparenza e di diritti individuali (sezioni 44, 45, 46, 47, 48, 49, 52 e 53 della legge del 2018 sulla protezione dei dati) nonché dei principi per i trasferimenti internazionali di dati personali (sezioni 73, 75, 76, 77 o 78 della legge del 2018 sulla protezione dei dati); b) 8 700 000 GBP negli altri casi (175). In relazione al mancato rispetto di un avviso di informazione, di un avviso di valutazione o di un avviso di esecuzione, l’importo massimo della sanzione che può essere comminata mediante un avviso di irrogazione di sanzioni è pari a 17 500 000 GBP.

(105)

Secondo le sue ultime relazioni annuali [2018-2019 (176), 2019-2020 (177)], l’ICO ha condotto una serie di indagini in relazione al trattamento di dati personali da parte delle autorità di contrasto in ambito penale. Ad esempio, ha condotto un’indagine e ha pubblicato un parere nell’ottobre del 2019 in merito all’utilizzo da parte delle autorità di contrasto di tecnologie di riconoscimento facciale nei luoghi pubblici. Tale indagine si è concentrata in particolare sull’uso delle capacità di riconoscimento facciale nel contesto del servizio di polizia del Galles meridionale e del servizio di polizia metropolitano. Inoltre l’ICO ha indagato in merito alla banca dati «Gangs Matrix» (178) del servizio di polizia metropolitano e ha riscontrato una serie di gravi violazioni della legge sulla protezione dei dati che potrebbero compromettere la fiducia del pubblico nella matrice e nell’utilizzo dei dati.

(106)

Nel novembre del 2018 l’ICO ha emesso un avviso di esecuzione e il servizio di polizia metropolitano ha successivamente adottato le misure necessarie per aumentare la sicurezza e la responsabilizzazione nonché per assicurare che i dati venissero utilizzati in maniera proporzionale.

(107)

Un ulteriore esempio di una recente azione esecutiva è la sanzione pecuniaria di 325 000 GBP comminata dall’ICO nel maggio del 2018 nei confronti del Crown Prosecution Service, per aver perso DVD non crittografati contenenti registrazioni di interrogatori di polizia. Inoltre l’ICO ha condotto indagini su argomenti di più ampia portata; ad esempio nella prima metà del 2020 ha indagato sull’uso dell’estrazione di dati da telefoni cellulari per finalità di polizia nonché sul trattamento dei dati delle vittime da parte della polizia.

(108)

Oltre ai suddetti poteri di esecuzione dell’ICO, talune violazioni della legislazione in materia di protezione dei dati costituiscono reati e possono pertanto essere soggette a sanzioni penali (sezione 196 della legge del 2018 sulla protezione dei dati). Si tratta ad esempio dell’ottenimento o della comunicazione di dati personali senza il consenso del titolare del trattamento, e della trasmissione di dati personali a un’altra persona senza il consenso del titolare del trattamento (179); della reidentificazione di informazioni a partire da dati personali anonimizzati senza il consenso del titolare del trattamento responsabile dell’anonimizzazione dei dati personali (180); dell’ostruzione intenzionale dell’esercizio dei poteri dell’ICO in relazione all’ispezione di dati personali conformemente agli obblighi internazionali (181); del rilascio di dichiarazioni false in risposta a un avviso di informazione o della distruzione di informazioni relative ad avvisi di informazione e di valutazione (182).

(109)

L’ICO è altresì tenuto, ai sensi della sezione 139 della legge del 2018 sulla protezione dei dati, a presentare a ciascuna camera del parlamento una relazione generale sull’esercizio delle proprie funzioni ai sensi di tale legge (183).

(110)

La vigilanza sul trattamento di dati personali da parte di organi giurisdizionali e della magistratura è duplice. Se un titolare di funzioni giurisdizionali o un organo giurisdizionale non agisce nell’esercizio delle proprie funzioni giurisdizionali, la vigilanza è esercitata dall’ICO. Quando il titolare del trattamento opera nell’esercizio delle proprie funzioni giurisdizionali, l’ICO non può esercitare le sue funzioni di vigilanza (184) e detta vigilanza è esercitata da organismi speciali. Ciò riflette l’approccio dell’articolo 32 della direttiva (UE) 2016/680.

(111)

In particolare, nel secondo caso, per gli organi giurisdizionali di Inghilterra e Galles e per gli organi giurisdizionali di primo grado e di grado superiore di Inghilterra e Galles, tale vigilanza è attuata dal Judicial Data Protection Panel (185) (comitato sulla protezione dei dati da parte del potere giudiziario). Inoltre il Lord Chief Justice (Lord Giudice capo) e il Senior President of Tribunals (Presidente senior degli organi giurisdizionali) hanno emesso un’informativa sulla protezione dei dati (186) che stabilisce le modalità con cui gli organi giurisdizionali di Inghilterra e Galles trattano i dati personali per espletare una funzione giudiziaria. Un’informativa analoga è stata emessa dalla magistratura dell’Irlanda del Nord (187) e della Scozia (188).

(112)

In Irlanda del Nord, il Lord Giudice capo ha nominato un giudice dell’Alta Corte Data Supervisory Judge (189) (DSJ, Giudice incaricato del controllo sui dati), e ha redatto orientamenti per la magistratura dell’Irlanda del Nord in merito alle azioni da intraprendere in caso di perdita o potenziale perdita di dati e al processo per affrontare qualsiasi problema derivante da tale circostanza (190).

(113)

In Scozia il Lord President (Lord presidente) ha nominato un Giudice incaricato del controllo sui dati affinché indaghi su eventuali reclami per motivi di protezione dei dati. Ciò è stabilito dalle norme sui reclami in materia giudiziaria, che rispecchiano quelle adottate per l’Inghilterra e il Galles (191).

(114)

Infine, nell’ambito della Corte suprema uno dei giudici è incaricato di vigilare in merito alla protezione dei dati.

(115)

Al fine di assicurare una protezione adeguata e, in particolare, il rispetto dei diritti individuali, l’interessato dovrebbe avere a disposizione mezzi di ricorso effettivi in sede amministrativa e giudiziale, compreso il risarcimento dei danni.

(116)

Innanzitutto l’interessato ha il diritto di proporre reclamo presso l’ICO qualora ritenga che, in relazione ai dati personali che lo riguardano, sia stata commessa una violazione della parte 3 della legge del 2018 sulla protezione dei dati (192). Come descritto nei considerando 100 e 109, l’ICO ha la competenza di valutare il rispetto della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento e del responsabile del trattamento, di chiedere loro di adottare o di astenersi dall’adottare misure in caso di non conformità nonché di irrogare sanzioni pecuniarie.

(117)

In secondo luogo, la legge del 2018 sulla protezione dei dati riconosce il diritto di ricorso nei confronti dell’ICO. Se l’ICO non fa «progredire» (193) un reclamo promosso dall’interessato, il reclamante ha accesso a un ricorso giurisdizionale e può adire un First-tier Tribunal (194) (tribunale di primo grado) chiedendogli di ordinare all’ICO di adottare misure adeguate per dare seguito al reclamo oppure di informare il reclamante dei progressi compiuti in relazione al reclamo (195). Inoltre chiunque riceva uno degli avvisi di cui sopra (di informazione, di valutazione, di esecuzione o di irrogazione di sanzioni) dall’ICO può impugnarlo adendo un First-tier Tribunal. Laddove quest’ultimo ritenga che la decisione dell’ICO non sia conforme alla legge o che l’ICO avrebbe dovuto esercitare il proprio potere discrezionale in modo diverso, detto organo deve accogliere il ricorso oppure sostituire l’avviso o la decisione con un altro avviso o un’altra decisione che l’ICO avrebbe potuto emettere o rendere (196).

(118)

In terzo luogo, le persone fisiche possono presentare un ricorso giurisdizionale nei confronti di titolari del trattamento e responsabili del trattamento adendo direttamente gli organi giurisdizionali in virtù della sezione 167 della legge del 2018 sulla protezione dei dati. Se, su domanda di un interessato, un organo giurisdizionale dichiara che è stata commessa una violazione dei diritti dell’interessato sanciti dalla legislazione in materia di protezione dei dati, esso può ordinare al titolare del trattamento, in relazione al trattamento, o a un responsabile del trattamento che agisce per conto di tale titolare del trattamento, di adottare o di astenersi dall’adottare le misure specificate nell’ordinanza. Inoltre, a norma della sezione 169 della legge del 2018 sulla protezione dei dati, chiunque subisca danni a causa di una violazione di un requisito sancito dalla legislazione in materia di protezione dei dati (compresa la parte 3 della legge del 2018 sulla protezione dei dati), diversa dal GDPR del Regno Unito, ha diritto al risarcimento di tali danni da parte del titolare del trattamento o del responsabile del trattamento, fatta eccezione nel caso in cui né il titolare del trattamento né il responsabile del trattamento siano in alcun modo responsabili dell’evento che ha cagionato i danni in questione. Sono compresi sia i danni che comportano una perdita finanziaria sia quelli che non la comportano, ad esempio una sofferenza.

(119)

In quarto luogo, nella misura in cui una persona ritenga che i suoi diritti, anche in materia di tutela della vita privata e protezione dei dati, siano stati violati da autorità pubbliche, può ottenere rimedio adendo gli organi giurisdizionali del Regno Unito conformemente alla legge del 1998 sui diritti umani. I titolari del trattamento di cui alla parte 3 della legge del 2018 sulla protezione dei dati, ossia le autorità competenti, sono sempre autorità pubbliche ai sensi della legge del 1998 sui diritti umani. Una persona fisica che sostenga che un’autorità pubblica ha agito (o propone di agire) in maniera incompatibile con un diritto sancito da una convenzione e pertanto in maniera illecita ai sensi della sezione 6, paragrafo 1, della legge del 1998 sui diritti umani può avviare un procedimento contro l’autorità in questione dinanzi all’organo giurisdizionale adeguato oppure fare affidamento sui diritti in questione nel contesto di qualsiasi procedimento legale, quando tale persona è (o diventa) vittima dell’atto illecito (197).

(120)

Laddove l’organo giurisdizionale constati che un atto di un’autorità pubblica è illecito, può concedere tale misura o provvedimento oppure emettere una tale ordinanza, entro i suoi poteri, nella misura che ritiene giusta ed adeguata (198). L’organo giurisdizionale può altresì dichiarare che una disposizione del diritto primario è incompatibile con un diritto garantito dalla CEDU.

(121)

Infine, dopo aver esperito i mezzi di ricorso nazionali, una persona fisica può ottenere rimedio adendo la Corte europea dei diritti dell’uomo per violazioni dei diritti garantiti ai sensi della CEDU.

(122)

Il diritto del Regno Unito autorizza la condivisione di dati da parte di un’autorità di contrasto con altre autorità del Regno Unito per finalità diverse da quelle per le quali sono stati inizialmente raccolti (la cosiddetta «condivisione successiva») nel rispetto di determinate condizioni.

(123)

Analogamente a quanto previsto dall’articolo 4, paragrafo 2, della direttiva (UE) 2016/680, la sezione 36, paragrafo 3, della legge del 2018 sulla protezione dei dati prevede che i dati personali raccolti da un’autorità competente per una finalità di contrasto possano essere ulteriormente trattati (dal titolare del trattamento originale o da un altro titolare del trattamento) per qualsiasi altra finalità di contrasto, a condizione che il titolare del trattamento sia autorizzato per legge a trattare i dati per un’altra finalità e il trattamento sia necessario e proporzionato (199). In tal caso tutte le garanzie fornite dalla parte 3 della legge del 2018 sulla protezione dei dati e analizzate sopra si applicano al trattamento effettuato dall’autorità ricevente.

(124)

Nell’ordinamento giuridico del Regno Unito, leggi diverse consentono esplicitamente la condivisione successiva. In particolare i) la Digital Economy Act 2017 (legge del 2017 sull’economia digitale) consente la condivisione tra autorità pubbliche per finalità diverse, ad esempio in caso di frode contro il settore pubblico che comporterebbe una perdita o un rischio di perdita per un’autorità pubblica (200) o in caso di un debito nei confronti di un’autorità pubblica o della Corona (201); ii) la Crime and Courts Act 2013 (legge del 2013 sui reati e sugli organi giurisdizionali) consente la condivisione di informazioni con la National Crime Agency (202) (NCA) per contrastare, indagare e perseguire la criminalità organizzata e forme gravi di criminalità; iii) la Serious Crime Act 2007 (legge del 2007 sui reati gravi) consente alle autorità pubbliche di divulgare informazioni alle organizzazioni antifrode ai fini della prevenzione delle frodi (203).

(125)

Tali leggi prevedono esplicitamente che la condivisione di informazioni debba rispettare le norme stabilite nella legge del 2018 sulla protezione dei dati. Inoltre il College of Policing ha emesso una pratica professionale autorizzata sulla condivisione di informazioni (204) per aiutare le forze di polizia a rispettare i loro obblighi di protezione dei dati nel quadro del GDPR del Regno Unito, della legge sulla protezione dei dati e della legge del 1998 sui diritti umani. La conformità della condivisione con il quadro giuridico della protezione dei dati applicabile può, naturalmente, essere soggetta a controllo giurisdizionale (205).

(126)

Inoltre, analogamente a quanto previsto all’articolo 9 della direttiva (UE) 2016/680, la legge del 2018 sulla protezione dei dati prevede che i dati personali raccolti per qualsiasi finalità di contrasto possano essere trattati per una finalità diversa da quelle di contrasto quando tale trattamento è autorizzato dalla legge (206). Questo tipo di condivisione riguarda due scenari: 1) quello in cui un’autorità di contrasto penale condivide dati con un’autorità di contrasto che non si occupa di materia penale diversa da un’agenzia di intelligence (ad esempio un’autorità finanziaria o fiscale, un’autorità per la concorrenza, un ufficio per l’assistenza ai giovani); 2) quello in cui un’autorità di contrasto penale condivide dati con un’agenzia di intelligence. Nel primo scenario, il trattamento dei dati personali rientrerà nell’ambito di applicazione del GDPR del Regno Unito nonché in quello della parte 2 della legge del 2018 sulla protezione dei dati. Come specificato nella decisione adottata ai sensi del regolamento (UE) 2016/679, le garanzie previste dal GDPR del Regno Unito e dalla parte 2 della legge del 2018 sulla protezione dei dati forniscono un livello di protezione sostanzialmente equivalente a quello fornito all’interno dell’Unione (207).

(127)

Nel secondo scenario, per quanto concerne la condivisione di dati raccolti da un’autorità di contrasto penale con un’agenzia di intelligence per finalità di sicurezza nazionale, la base giuridica che autorizza tale condivisione è la Counter Terrorism Act 2008 (208) (legge antiterrorismo del 2008). Conformemente alla legge antiterrorismo del 2008, qualsiasi persona può fornire informazioni a un qualsiasi servizio di intelligence ai fini dell’adempimento di una qualsiasi delle funzioni di tale servizio, compresa la «sicurezza nazionale».

(128)

Per quanto concerne le condizioni in cui i dati possono essere condivisi per finalità di sicurezza nazionale, l’Intelligence Services Act (legge sui servizi di intelligence) e la Security Service Act (legge sui servizi di sicurezza) limitano la capacità dei servizi di intelligence di ottenere dati a quanto necessario per adempiere le loro funzioni statutarie. Le autorità competenti rientranti nell’ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati che intendono condividere dati con i servizi di intelligence dovranno considerare una serie di fattori/limitazioni, oltre alle funzioni statutarie delle agenzie stabilite nella legge sui servizi di intelligence e nella legge sui servizi di sicurezza (209). La sezione 20 della legge antiterrorismo del 2008 chiarisce che qualsiasi condivisione dei dati ai sensi della sezione 19 di tale legge deve comunque rispettare la legislazione in materia di protezione dei dati, il che significa che si applicano tutte le limitazioni e tutti i requisiti della legge del 2018 sulla protezione dei dati. Inoltre le autorità di contrasto e i servizi di intelligence sono autorità pubbliche ai fini della legge del 1998 sui diritti umani e devono quindi agire in conformità con i diritti sanciti dalla CEDU, compreso l’articolo 8. Tali requisiti assicurano che ogni condivisione di dati tra le agenzie di contrasto e i servizi di intelligence sia conforme alla legislazione in materia di protezione dei dati e alla CEDU.

(129)

Il trattamento da parte di servizi di intelligence di dati personali ricevuti od ottenuti da autorità di contrasto per finalità di sicurezza nazionale è soggetto a una serie di condizioni e garanzie (210). La parte 4 della legge del 2018 sulla protezione dei dati si applica a tutti i trattamenti effettuati da o per conto dei servizi di intelligence. In particolare, stabilisce i principi fondamentali in materia di protezione dei dati [liceità, equità e trasparenza (211); limitazione della finalità (212); minimizzazione dei dati (213); esattezza (214); limitazione (215) e sicurezza (216) della conservazione], impone le condizioni relative al trattamento di categorie particolari di dati (217), fissa i diritti degli interessati (218), impone la protezione dei dati fin dalla progettazione (219) e disciplina i trasferimenti internazionali di dati personali (220).

(130)

Allo stesso tempo, la sezione 110 della legge del 2018 sulla protezione dei dati prevede un’esenzione da disposizioni specifiche previste nella parte 4 della legge del 2018 sulla protezione dei dati, quando tale esenzione è necessaria per salvaguardare la sicurezza nazionale. La sezione 110, paragrafo 2, della legge del 2018 sulla protezione dei dati elenca le disposizioni rispetto alle quali è consentita un’esenzione, tra cui i principi di protezione dei dati (fatta eccezione per il principio di liceità), i diritti degli interessati, l’obbligo di informare l’ICO in merito a una violazione dei dati, i poteri di ispezione dell’ICO in conformità con gli obblighi internazionali, alcuni dei poteri esecutivi dell’ICO, le disposizioni che qualificano come reato determinate violazioni in materia di protezione dei dati nonché le disposizioni relative a finalità speciali di trattamento, quali le finalità giornalistiche, accademiche o artistiche. Tale esenzione può essere invocata sulla base di un’analisi caso per caso (221). Come spiegato dalle autorità del Regno Unito e confermato dalla giurisprudenza degli organi giurisdizionali del Regno Unito, «il titolare del trattamento deve considerare le conseguenze effettive per la sicurezza nazionale o la difesa che si verificherebbero qualora fosse tenuto a rispettare la disposizione specifica in materia di protezione dei dati, e valuta se può ragionevolmente rispettare la norma abituale senza ripercussioni per la sicurezza nazionale o la difesa» (222). Spetta all’ICO valutare se l’esenzione sia stata applicata adeguatamente o meno (223).

(131)

Inoltre, in relazione alla possibilità di limitare uno dei diritti di cui sopra per motivi di protezione della «sicurezza nazionale», la sezione 79 della legge del 2018 sulla protezione dei dati prevede la possibilità che un titolare del trattamento richieda un certificato firmato da un ministro o dal procuratore generale che attesti che la limitazione di tali diritti è, o era in qualsiasi momento, una misura necessaria e proporzionata per la protezione della sicurezza nazionale (224). Il governo del Regno Unito ha pubblicato orientamenti sui certificati di sicurezza nazionale ai sensi della legge del 2018 sulla protezione dei dati, che sottolineano in particolare che qualsiasi limitazione ai diritti degli interessati a favore della protezione della sicurezza nazionale deve essere proporzionata e necessaria (225). Tutti i certificati di sicurezza nazionale devono essere pubblicati sul sito web dell’ICO (226).

(132)

Il certificato dovrebbe avere una durata fissa non superiore a cinque anni, in maniera da essere riesaminato regolarmente dal potere esecutivo (227). Il certificato deve individuare i dati personali o le categorie di dati personali soggetti a esenzione nonché le disposizioni della legge del 2018 sulla protezione dei dati a cui si applica l’esenzione (228).

(133)

È importante notare che i certificati di sicurezza nazionale non prevedono un ulteriore motivo per limitare i diritti alla protezione dei dati per motivi di sicurezza nazionale. In altre parole, il titolare del trattamento o il responsabile del trattamento può basarsi su un certificato soltanto quando ha concluso che è necessario invocare l’esenzione prevista per motivi di sicurezza nazionale, che deve essere applicata caso per caso. Anche se alla questione in esame si applica un certificato di sicurezza nazionale, l’ICO può indagare per stabilire se il ricorso all’esenzione prevista per motivi di sicurezza nazionale sia stato giustificato in un caso specifico (229).

(134)

Qualsiasi persona direttamente interessata dal rilascio del certificato può presentare ricorso all’Upper Tribunal (230) (tribunale superiore) contro il certificato (231) oppure, laddove il certificato individui i dati mediante una descrizione generale, impugnare l’applicazione del certificato a dati specifici (232).

(135)

Detto organo giurisdizionale riesamina la decisione di emettere un certificato e decide se vi erano motivi ragionevoli per il suo rilascio (233). Può prendere in considerazione una vasta gamma di questioni, tra le quali la necessità, la proporzionalità e la liceità, tenendo conto dell’impatto sui diritti degli interessati e dell’equilibrio rispetto alla necessità di salvaguardare la sicurezza nazionale. Di conseguenza tale organo giurisdizionale può stabilire che il certificato non si applica a dati personali specifici oggetto del ricorso (234).

(136)

Un insieme diverso di possibili limitazioni riguarda quelle applicabili, ai sensi dell’articolo 11 della legge del 2018 sulla protezione dei dati, a talune disposizioni della parte 4 della legge del 2018 sulla protezione dei dati (235) per salvaguardare altri importanti obiettivi di interesse pubblico generale o interessi tutelati quali ad esempio l’immunità parlamentare, il segreto professionale, lo svolgimento di procedimenti giudiziari o l’efficacia di combattimento delle forze armate. L’applicazione di tali disposizioni è esentata per determinate categorie di informazioni (esenzione «basata sulla classificazione») oppure esentata nella misura in cui potrebbe compromettere l’interesse tutelato (esenzione «basata sul pregiudizio») (236). Le esenzioni basate sul pregiudizio possono essere invocate soltanto nella misura in cui l’applicazione della disposizione di protezione dei dati elencati potrebbe pregiudicare lo specifico interesse in questione. Il ricorso a un’esenzione deve quindi essere sempre giustificato facendo riferimento al pregiudizio che potrebbe verificarsi nel singolo caso. L’esenzione basata sulla classificazione può essere invocata soltanto rispetto alla categoria di informazioni specifica, strettamente definita, per la quale è concessa. Si tratta di esenzioni analoghe, in termini di finalità ed effetto, a numerose delle eccezioni previste dal GDPR del Regno Unito (conformemente all’allegato 2 della legge del 2018 sulla protezione dei dati) che, a loro volta, riflettono quelle previste dall’articolo 23 del GDPR dell’Unione europea.

(137)

Da quanto precede consegue che tali limitazioni e condizioni si attuano nel quadro di disposizioni giuridiche del Regno Unito applicabili, anche quali interpretate dagli organi giurisdizionali e dall’ICO, al fine di assicurare che tali esenzioni e limitazioni rimangano entro i limiti di quanto necessario e proporzionato per proteggere la sicurezza nazionale.

(138)

Il trattamento dei dati personali svolto dai servizi di intelligence ai sensi della parte 4 della legge del 2018 sulla protezione dei dati è oggetto di vigilanza da parte dell’ICO (237).

(139)

Le funzioni generali dell’ICO in relazione al trattamento dei dati personali da parte di servizi di intelligence ai sensi della parte 4 della legge del 2018 sulla protezione dei dati sono stabilite nell’allegato 13 di tale legge. Tra tali compiti figurano, a titolo esemplificativo ma non esaustivo, il monitoraggio e l’applicazione delle norme di cui alla parte 4 della legge del 2018 sulla protezione dei dati, la sensibilizzazione del pubblico, attività di consulenza a favore del parlamento, del governo e di altre istituzioni in merito a misure legislative e amministrative, la sensibilizzazione dei titolari del trattamento e dei responsabili del trattamento in merito ai loro obblighi, la trasmissione di informazioni a un interessato sull’esercizio dei suoi diritti, e lo svolgimento di indagini.

(140)

Per quanto concerne la parte 3 della legge del 2018 sulla protezione dei dati, l’ICO ha il potere di notificare ai titolari del trattamento una presunta violazione, emettere avvertimenti sulla probabilità che un trattamento violi le norme, e formulare ammonimenti quando la violazione è confermata. Può inoltre emettere avvisi di esecuzione e di irrogazione di sanzioni per violazioni di determinate disposizioni della legge (238). Tuttavia, contrariamente a quanto previsto per altre parti della legge del 2018 sulla protezione dei dati, l’ICO non può rivolgere un avviso di valutazione a un organismo di sicurezza nazionale (239).

(141)

Inoltre la sezione 110 della legge del 2018 sulla protezione dei dati prevede un’eccezione all’utilizzo di determinati poteri da parte dell’ICO quando ciò è necessario al fine di proteggere la sicurezza nazionale, Ciò riguarda tra l’altro il potere dell’ICO di emettere (qualsiasi tipo di) avvisi ai sensi della legge sulla protezione dei dati (avvisi di informazione, di valutazione, di esecuzione e di irrogazione di sanzioni), il potere di effettuare ispezioni in conformità con gli obblighi internazionali, i poteri di accesso e di ispezione e le norme in materia di reati (240). Come spiegato al considerando 136, tali eccezioni saranno applicate soltanto se necessario e proporzionato e su base individuale. L’applicazione di tali eccezioni può essere soggetta a controllo giurisdizionale (241).

(142)

L’ICO e i servizi di intelligence del Regno Unito hanno firmato un protocollo d’intesa (242) che stabilisce un quadro per la cooperazione su una serie di questioni, comprese le notifiche di violazioni dei dati e la gestione dei reclami degli interessati. In particolare tale protocollo prevede che, quando riceve un reclamo, l’ICO valuti se un’eventuale esenzione per motivi di sicurezza nazionale sia stata invocata in maniera adeguata. Le risposte alle domande poste dall’ICO nel contesto dell’esame di singoli reclami devono essere fornite entro 20 giorni lavorativi dagli orientamenti del Regno Unito sui certificati di sicurezza nazionale in conformità della legge sulla protezione dei dati, utilizzando canali sicuri adeguati laddove riguardino informazioni classificate. Da aprile 2018 ad oggi l’ICO ha ricevuto 21 reclami da persone fisiche in relazione ai servizi di intelligence. Ogni reclamo è stato valutato e l’esito è stato comunicato all’interessato (243).

(143)

Inoltre, l’Intelligence and Security Committee (ISC, commissione sui servizi di intelligence e sicurezza) svolge un ruolo di vigilanza parlamentare sul trattamento dei dati da parte delle agenzie di intelligence. Tale commissione ha le sue basi statutarie nella Justice and Security Act 2013 (JSA 2013, legge sulla giustizia e sulla sicurezza) (244), che la istituisce come commissione del parlamento del Regno Unito. L’ISC è costituita da membri appartenenti a una camera del parlamento e nominati dal primo ministro in seguito a consultazione del leader dell’opposizione (245). L’ISC è tenuta a presentare una relazione annuale al parlamento in merito all’adempimento delle sue funzioni così come altre relazioni che ritiene adeguate (246).

(144)

Dal 2013 sono stati conferiti all’ISC maggiori poteri, compresa la vigilanza sulle attività operative dei servizi di sicurezza. Conformemente alla sezione 2 della legge del 2013 sulla giustizia e sulla sicurezza, l’ISC ha il compito di vigilare sulla spesa, sull’amministrazione, sulla politica e sulle operazioni delle agenzie di sicurezza nazionali. Tale legge specifica che l’ISC può condurre indagini in merito a questioni operative quando queste non si riferiscono ad operazioni in corso (247). Il protocollo d’intesa concordato tra il primo ministro e l’ISC (248) specifica in maniera dettagliata gli elementi da prendere in considerazione quando si valuta se un’attività non fa parte di alcuna operazione in corso (249). L’ISC può inoltre essere invitata a indagare in merito a operazioni in corso da parte del primo ministro e può esaminare le informazioni fornite volontariamente dalle agenzie.

(145)

In virtù dell’allegato 1 della legge del 2013 sulla giustizia e sulla sicurezza l’ISC può chiedere ai capi di uno dei tre servizi di intelligence di rivelare qualsiasi informazione. L’agenzia deve rendere disponibili tali informazioni, fatto salvo il caso in cui il segretario di Stato ponga un veto (250). Secondo le spiegazioni fornite dalle autorità del Regno Unito, nella pratica sono rarissime le informazioni che non vengono divulgate dall’ISC (251).

(146)

Per quanto concerne i mezzi di ricorso, innanzitutto, ai sensi della sezione 165, paragrafo 2, della legge del 2018 sulla protezione dei dati, un interessato può proporre reclamo presso l’ICO qualora ritenga che, in relazione a dati personali che lo riguardano, sia stata commessa una violazione della parte 4 della legge del 2018 sulla protezione dei dati, compreso qualsiasi uso abusivo delle deroghe e delle limitazioni per motivi di sicurezza nazionale.

(147)

Ai sensi della parte 4 della legge del 2018 sulla protezione dei dati, le persone fisiche hanno altresì il diritto di adire l’Alta Corte (o la Court of Session in Scozia) per ottenere l’emissione di un’ordinanza che imponga al titolare del trattamento di rispettare i diritti di accesso ai dati (252), di opposizione al trattamento (253) e di rettifica o cancellazione.

(148)

Le persone fisiche hanno altresì il diritto di richiedere un risarcimento dei danni subiti a causa di una violazione in relazione a un requisito di cui alla parte 4 della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento o di un responsabile del trattamento (254). Sono compresi sia i danni che comportano una perdita finanziaria sia quelli che non la comportano, ad esempio una sofferenza (255).

(149)

Infine, una persona può promuovere un reclamo all’Investigatory Powers Tribunal (IPT) per qualsiasi condotta da parte, o per conto, delle agenzie di intelligence del Regno Unito (256). L’IPT è istituito dalla Regulation of Investigatory Powers Act 2000 (legge sul regolamento sui poteri di indagine) per Inghilterra, Galles e Irlanda del Nord, e dalla Regulation of Investigatory Powers (Scotland) Act 2000 (legge sul regolamento sui poteri di indagine — Scozia) per la Scozia (RIPA 2000) ed è indipendente dal potere esecutivo (257). Conformemente alla sezione 65 della RIPA 2000, i membri dell’IPT sono nominati dalla Regina per un mandato di cinque anni.

(150)

Il loro incarico può essere revocato dalla Regina su raccomandazione (258) presentata da entrambe le camere del parlamento (259).

(151)

Al fine di promuovere un’azione dinanzi l’IPT («requisito sulla legittimazione»), a norma della sezione 65 della RIPA 2000, una persona fisica deve ritenere i) che la condotta di un servizio di intelligence sia stata adottata in relazione alla sua persona, ai suoi beni, alle comunicazioni che essa ha inviato o ricevuto, o al suo utilizzo di un servizio postale, di un servizio di telecomunicazioni o di un sistema di telecomunicazioni (260), e ii) che la condotta abbia avuto luogo in «circostanze impugnabili» (261) o sia stata «adottata da o per conto dei servizi di intelligence» (262). Dato che tale livello di «convinzione» è stato interpretato in maniera alquanto ampia (263), promuovere un’azione dinanzi a detto organo giurisdizionale richiede il soddisfacimento di requisiti di legittimazione relativamente bassi.

(152)

Quando valuta un reclamo che gli è stato sottoposto, l’IPT è tenuto a determinare se le persone nei confronti delle quali è stata mossa un’accusa abbiano svolto attività in relazione al reclamante, indagare in merito all’autorità presumibilmente coinvolta nelle violazioni e stabilire se l’asserita condotta abbia avuto luogo o meno (264). Quando esamina un procedimento, l’IPT deve applicare i medesimi principi decisionali che verrebbero applicati da un organo giurisdizionale per un’istanza di controllo giurisdizionale (265).

(153)

L’IPT deve notificare al reclamante se è stata presa una decisione a suo favore o meno (266). Conformemente alla sezione 67, paragrafi 6 e 7, della RIPA 2000, l’IPT ha il potere di emettere provvedimenti provvisori e riconoscere risarcimenti o rendere qualsiasi altra ordinanza ritenuta opportuna (267). Conformemente alla sezione 67 A del RIPA 2000, una decisione dell’IPT può essere impugnata, a condizione che l’IPT o l’organo giurisdizionale di appello competente dia la propria autorizzazione.

(154)

In particolare le persone fisiche possono proporre reclamo, e ottenere un risarcimento, presso l’IPT nel caso in cui ritengano che un’autorità pubblica abbia agito (o proponga di agire) in maniera incompatibile con un diritto sancito dalla CEDU, compreso il diritto alla tutela della vita privata o alla protezione dei dati, e di conseguenza illecita ai sensi della sezione 6, paragrafo 1, della legge del 1998 sui diritti umani. All’IPT è stata concessa competenza giurisdizionale esclusiva per tutti i reclami in relazione alle agenzie di intelligence ai sensi della legge sui diritti umani. Ciò significa che, come osservato dall’Alta Corte, «la questione della sussistenza o meno, in un caso particolare, di una violazione della legge sui diritti umani può essere in linea di principio sollevata e decisa da un organo giurisdizionale indipendente che può avere accesso a tutto il materiale pertinente, compreso il materiale segreto. […] Ricordiamo altresì in questo contesto che l’IPT stesso può ormai formare oggetto di ricorso dinanzi l’organo giurisdizionale di secondo grado competente (in Inghilterra e Galles si tratterebbe della Corte d’appello); e che la Corte suprema ha recentemente deciso che l’IPT è in linea di principio assoggettabile a controllo giurisdizionale: cfr. R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219» (268). Laddove l’IPT constati che un atto di un’autorità pubblica è illecito, può concedere tale misura o provvedimento oppure emettere una tale ordinanza, entro i suoi poteri, nella misura che ritiene giusta ed adeguata (269).

(155)

Infine, dopo aver esperito i mezzi di ricorso nazionali, una persona fisica può ottenere rimedio adendo la Corte europea dei diritti dell’uomo per violazioni dei diritti garantiti ai sensi della CEDU, compreso il diritto alla tutela della vita privata e alla protezione dei dati.

(156)

Ne consegue che la condivisione da parte delle autorità del Regno Unito preposte all’attività di contrasto di dati trasferiti a norma della presente decisione con altre autorità pubbliche, comprese le agenzie di intelligence, è inquadrata da limitazioni e condizioni che assicurano che tale condivisione successiva sia necessaria e proporzionata e soggetta a specifiche garanzie della protezione dei dati in virtù della legge del 2018 sulla protezione dei dati. Inoltre il trattamento di dati da parte delle autorità pubbliche in questione è oggetto di vigilanza da parte di organismi indipendenti e le persone interessate hanno accesso a ricorsi giurisdizionali efficaci.

(157)

La Commissione ritiene che la parte 3 della legge del 2018 sulla protezione dei dati assicuri un livello di protezione dei dati personali trasferiti per finalità di contrasto in materia penale dalle autorità competenti nell’Unione europea alle autorità competenti nel Regno Unito che è sostanzialmente equivalente a quello garantito dalla direttiva (UE) 2016/680.

(158)

Inoltre la Commissione ritiene che, nel complesso, i meccanismi di vigilanza e i mezzi di ricorso previsti dal diritto del Regno Unito consentano di individuare e sanzionare nella pratica le violazioni e offrano all’interessato mezzi di ricorso che gli permettono di accedere ai dati personali che lo riguardano e, in ultima analisi, di ottenerne la rettifica o la cancellazione.

(159)

Infine, sulla base delle informazioni disponibili sull’ordinamento giuridico del Regno Unito, la Commissione ritiene che qualsiasi ingerenza nei diritti fondamentali delle persone fisiche i cui dati personali sono trasferiti dall’Unione europea verso il Regno Unito da parte di autorità pubbliche del Regno Unito per fini di interesse pubblico, anche nel contesto della condivisione di dati personali tra le autorità di contrasto e altre autorità pubbliche come gli organismi di sicurezza nazionale, sarà limitata a quanto strettamente necessario per conseguire l’obiettivo legittimo in questione; la Commissione ritiene inoltre che esista una protezione giuridica efficace contro tale ingerenza.

(160)

Di conseguenza è opportuno decidere che il Regno Unito assicura un livello di protezione adeguato ai sensi dell’articolo 36, paragrafo 2, della direttiva (UE) 2016/680, interpretato alla luce della Carta dei diritti fondamentali dell’Unione europea.

(161)

Questa conclusione si basa tanto sul regime interno pertinente del Regno Unito quanto sugli impegni assunti dal Regno Unito a livello internazionale, in particolare l’adesione alla convenzione europea dei diritti dell’uomo e l’assoggettamento alla competenza giurisdizionale della Corte europea dei diritti dell’uomo. Il costante adempimento di tali obblighi internazionali costituisce pertanto un aspetto particolarmente importante della valutazione sulla quale si basa la presente decisione.

(162)

Gli Stati membri e i loro organi sono tenuti ad adottare le misure necessarie per conformarsi agli atti delle istituzioni dell’Unione, poiché si presumono legittimi e producono pertanto effetti giuridici, finché non scadano, non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un’eccezione di illegittimità.

(163)

Di conseguenza, una decisione di adeguatezza adottata dalla Commissione a norma dell’articolo 36, paragrafo 3, della direttiva (UE) 2016/680 è vincolante per tutti gli organi degli Stati membri che ne sono destinatari, comprese le autorità di controllo indipendenti. In particolare, durante il periodo di applicazione della presente decisione, i trasferimenti da un titolare del trattamento o un responsabile del trattamento nell’Unione europea verso titolari del trattamento o responsabili del trattamento nel Regno Unito possono avvenire senza la necessità di ottenere ulteriori autorizzazioni.

(164)

Allo stesso tempo è opportuno ricordare che, ai sensi dell’articolo 47, paragrafo 5, della direttiva (UE) 2016/680, e come spiegato dalla Corte di giustizia nella sentenza Schrems, quando un’autorità nazionale di protezione dei dati mette in dubbio, anche in seguito a un reclamo, la compatibilità di una decisione di adeguatezza della Commissione con i diritti fondamentali della persona fisica concernenti la tutela della vita privata e la protezione dei dati, il diritto nazionale deve prevedere mezzi di ricorso per l’affermazione di tali obiezioni dinanzi un organo giurisdizionale nazionale, che può essere tenuto a effettuare un rinvio pregiudiziale alla Corte di giustizia (270).

(165)

Ai sensi dell’articolo 36, paragrafo 4, della direttiva (UE) 2016/680, la Commissione è tenuta a controllare su base continuativa gli sviluppi pertinenti nel Regno Unito in seguito all’adozione della presente decisione al fine di valutare se sia sempre assicurato un livello essenzialmente equivalente di protezione. Tale monitoraggio è particolarmente importante in questo caso, in quanto il Regno Unito gestirà, applicherà e farà rispettare un nuovo regime di protezione dei dati non più soggetto al diritto dell’Unione europea, che potrebbe essere suscettibile di evoluzioni. A tale riguardo, si presterà particolare attenzione all’applicazione pratica delle norme del Regno Unito sul trasferimento di dati personali verso paesi terzi, anche attraverso la conclusione di accordi internazionali, e all’impatto che ciò può avere sul livello di protezione offerto ai dati trasferiti a norma della presente decisione; così come all’effettività dell’esercizio dei diritti individuali nei settori contemplati dalla presente decisione. Assieme ad altri elementi, gli sviluppi giurisprudenziali e la vigilanza da parte dell’ICO e di altri organismi indipendenti contribuiranno al monitoraggio della Commissione.

(166)

Per agevolare tale monitoraggio, le autorità del Regno Unito dovrebbero informare tempestivamente e regolarmente la Commissione di qualsiasi modifica sostanziale dell’ordinamento giuridico del Regno Unito che abbia un impatto sul quadro giuridico oggetto della presente decisione, nonché di qualsiasi evoluzione delle pratiche relative al trattamento dei dati personali oggetto della presente decisione, in particolare per quanto riguarda gli elementi di cui al considerando 165.

(167)

Inoltre, al fine di consentire alla Commissione di svolgere in modo efficace la propria funzione di monitoraggio, gli Stati membri dovrebbero informarla delle eventuali azioni intraprese dalle autorità nazionali di protezione dei dati, in particolare per quanto riguarda eventuali domande o reclami presentati da interessati dell’UE relativamente al trasferimento di dati personali dall’Unione europea verso autorità competenti nel Regno Unito. La Commissione dovrebbe inoltre essere informata di eventuali indicazioni del fatto che le azioni delle autorità pubbliche del Regno Unito competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, compresi gli organismi di vigilanza, non garantiscono il necessario livello di protezione.

(168)

Se dalle informazioni disponibili, in particolare da quelle risultanti dal monitoraggio della presente decisione o fornite dalle autorità del Regno Unito o degli Stati membri, risulta che il livello di protezione offerto dal Regno Unito potrebbe non essere più adeguato, la Commissione dovrebbe informare prontamente le autorità competenti del Regno Unito e richiedere che adottino misure adeguate entro un periodo di tempo specificato, che non può essere superiore a tre mesi. Se necessario, tale periodo può essere prorogato per un periodo di tempo determinato, tenuto conto della natura della questione in esame e/o delle misure da adottare.

(169)

Laddove alla scadenza di tale periodo di tempo specificato le autorità competenti del Regno Unito non abbiano adottato tali misure o non dimostrino altrimenti in modo soddisfacente che la presente decisione continua ad essere basata su un livello di protezione adeguato, la Commissione avvierà la procedura di cui all’articolo 58, paragrafo 2, della direttiva (UE) 2016/680 al fine di sospendere o abrogare parzialmente o completamente la presente decisione.

(170)

In alternativa, la Commissione avvierà tale procedura al fine di modificare la presente decisione, in particolare imponendo ulteriori condizioni per i trasferimenti di dati o limitando il riconoscimento dell’adeguatezza soltanto ai trasferimenti di dati per cui continua ad essere garantito un livello di protezione adeguato.

(171)

In ragione di motivi imperativi d’urgenza debitamente giustificati, la Commissione farà ricorso alla possibilità di adottare, conformemente alla procedura di cui all’articolo 58, paragrafo 3, della direttiva (UE) 2016/680, atti di esecuzione immediatamente applicabili destinati a sospendere, abrogare o modificare la presente decisione.

(172)

Occorre tenere conto del fatto che, alla fine del periodo di transizione previsto dall’accordo di recesso e non appena la disposizione provvisoria di cui all’articolo 782 dell’accordo sugli scambi e la cooperazione UE-Regno Unito cesserà di applicarsi, il Regno Unito gestirà, applicherà e farà rispettare un nuovo regime di protezione dei dati che sostituirà quello in vigore quando era vincolato dal diritto dell’Unione europea. Ciò può comportare in particolare modifiche o cambiamenti del quadro di protezione dei dati valutato nella presente decisione, nonché altri sviluppi pertinenti.

(173)

Di conseguenza è opportuno prevedere che la presente decisione si applichi per un periodo di quattro anni a decorrere dalla sua entrata in vigore.

(174)

Laddove in particolare le informazioni risultanti dal monitoraggio della presente decisione rivelino che le conclusioni sull’adeguatezza del livello di protezione assicurato nel Regno Unito continuano ad essere giustificate in fatto e in diritto, la Commissione dovrebbe, al più tardi sei mesi prima della data in cui la presente decisione cesserà di applicarsi, avviare la procedura per modificare la presente decisione prorogandone l’applicazione temporale, in linea di principio, per un ulteriore periodo di quattro anni. Qualsiasi atto di esecuzione di tale sorta destinato a modificare la presente decisione deve essere adottato conformemente alla procedura di cui all’articolo 58, paragrafo 2, della direttiva (UE) 2016/680.

(175)

Il comitato europeo per la protezione dei dati ha pubblicato il proprio parere (271), del quale si è tenuto conto nell’elaborazione della presente decisione.

(176)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall’articolo 58 della direttiva (UE) 2016/680.

(177)

A norma dell’articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l’Irlanda non è vincolata dalle disposizioni previste dalla direttiva (UE) 2016/680, e di conseguenza dalla presente decisione di esecuzione, che riguardano il trattamento dei dati personali da parte degli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE laddove l’Irlanda non sia vincolata da norme che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell’ambito delle quali devono essere rispettate le disposizioni stabilite in base all’articolo 16 TFUE. Inoltre, in virtù della decisione di esecuzione (UE) 2020/1745 del Consiglio (272), la direttiva (UE) 2016/680 è messa in applicazione e si applica in Irlanda in via provvisoria a decorrere dal 1o gennaio 2021. L’Irlanda è pertanto vincolata dalla presente decisione di esecuzione, alle stesse condizioni applicabili all’applicazione della direttiva (UE) 2016/680 in Irlanda come stabilito nella decisione di esecuzione (UE) 2020/1745, per quanto concerne l’acquis di Schengen al quale partecipa.

(178)

Conformemente agli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al trattato sull’Unione europea e al trattato sul funzionamento dell’Unione europea, la Danimarca non è vincolata dalle disposizioni previste dalla direttiva (UE) 2016/680, e di conseguenza dalla presente decisione di esecuzione, né soggetta alla loro applicazione per quanto concerne il trattamento di dati personali da parte degli Stati membri durante lo svolgimento di attività che rientrano nell’ambito di applicazione della parte terza, titolo V, capo 4 o 5, TFUE. Tuttavia, dato che la direttiva (UE) 2016/680 si basa sull’acquis di Schengen, il 26 ottobre 2016 la Danimarca, conformemente all’articolo 4 di tale protocollo, ha notificato la propria decisione di attuare la direttiva (UE) 2016/680. La Danimarca è pertanto tenuta ad attuare la presente decisione di esecuzione in virtù del diritto internazionale.

(179)

Per quanto riguarda l’Islanda e la Norvegia, la presente decisione di esecuzione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo concluso dal Consiglio dell’Unione europea con la Repubblica d’Islanda e il Regno di Norvegia sulla loro associazione all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (273).

(180)

Per quanto riguarda la Svizzera, la presente decisione di esecuzione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen ai sensi dell’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione di quest’ultima all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (274).

(181)

Per quanto riguarda il Liechtenstein, la presente decisione di esecuzione costituisce uno sviluppo delle disposizioni dell’acquis di Schengen, ai sensi del protocollo tra l’Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull’adesione del Principato del Liechtenstein all’accordo tra l’Unione europea, la Comunità europea e la Confederazione svizzera riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (275),