(1)

Il regolamento (UE) 2016/679 stabilisce le norme per il trasferimento di dati personali da titolari del trattamento o responsabili del trattamento nell'Unione verso paesi terzi e organizzazioni internazionali nella misura in cui tale trasferimento rientri nel suo ambito di applicazione. Le norme sui trasferimenti internazionali di dati sono stabilite nel capo V di detto regolamento, ossia negli articoli da 44 a 50. Sebbene la circolazione di dati personali verso e da paesi al di fuori dell'Unione europea sia essenziale per l'espansione della cooperazione internazionale e degli scambi transfrontalieri, occorre garantire che il livello di protezione offerto ai dati personali nell'Unione europea non sia compromesso da trasferimenti verso paesi terzi (2).

(2)

Ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale garantiscono un livello di protezione adeguato. Nel rispetto di tale condizione, i trasferimenti di dati personali verso un paese terzo possono avvenire senza la necessità di ottenere ulteriori autorizzazioni, come previsto dall'articolo 45, paragrafo 1, e dal considerando 103 di tale regolamento.

(3)

Come specificato all'articolo 45, paragrafo 2, del regolamento (UE) 2016/679, l'adozione della decisione di adeguatezza deve basarsi su un'analisi completa dell'ordinamento giuridico del paese terzo, per quanto riguarda tanto le norme applicabili agli importatori di dati quanto le limitazioni e le garanzie relative all'accesso ai dati personali da parte delle autorità pubbliche. Nella propria valutazione la Commissione deve stabilire se il paese terzo in questione assicura un livello di protezione «sostanzialmente equivalente» a quello garantito all'interno dell'Unione europea (considerando 104 del regolamento (UE) 2016/679). Il criterio rispetto al quale viene valutata l'«equivalenza sostanziale» è quello stabilito dalla legislazione dell'UE, in particolare il regolamento (UE) 2016/679, nonché dalla giurisprudenza della Corte di giustizia dell'Unione europea (3). Anche i criteri di riferimento per l'adeguatezza del comitato europeo per la protezione dei dati (EDPB) sono rilevanti a questo proposito (4).

(4)

Come chiarito dalla Corte di giustizia dell'Unione europea, non è richiesto un livello di protezione identico (5). In particolare, gli strumenti dei quali il paese terzo in questione si avvale per proteggere i dati personali possono essere diversi da quelli attuati all'interno dell'Unione europea, purché si rivelino efficaci, nella prassi, al fine di assicurare un livello adeguato di protezione (6). Il livello di adeguatezza non comporta pertanto una duplicazione pedissequa delle norme dell'Unione. La prova consiste, piuttosto, nel determinare se, con la sostanza dei diritti alla protezione dei dati e rendendone l'attuazione, l'azionabilità e il controllo effettivi, il sistema estero, nel suo insieme, offre il necessario livello di protezione (7).

(5)

La Commissione ha analizzato attentamente la normativa e la prassi del Regno Unito. Sulla base delle risultanze illustrate nei considerando da 8 a 270, la Commissione conclude che il Regno Unito assicura un livello di protezione adeguato per i dati personali trasferiti dall'Unione europea verso il Regno Unito nell'ambito di applicazione del regolamento (UE) 2016/679.

(6)

Questa conclusione non riguarda i dati personali trasferiti a fini di controllo dell'immigrazione da parte del Regno Unito o che altrimenti rientrano nell'ambito di applicazione dell'esenzione rispetto a determinati diritti degli interessati a fini di mantenimento dell'effettivo controllo dell'immigrazione («esenzione per motivi di immigrazione») a norma dell'allegato 2, paragrafo 4, punto 1, della legge del 2018 sulla protezione dei dati. La validità e l'interpretazione dell'esenzione per motivi di immigrazione ai sensi del diritto del Regno Unito non sono stabilite, a seguito di una decisione della Corte d'appello di Inghilterra e Galles del 26 maggio 2021. Pur riconoscendo che i diritti degli interessati possono, in linea di principio, essere limitati a fini di controllo dell'immigrazione quale «aspetto importante dell'interesse pubblico», la Corte d'appello ha ritenuto che l'esenzione per motivi di immigrazione, nella sua forma attuale, è incompatibile con il diritto del Regno Unito, in quanto la misura legislativa non contiene disposizioni specifiche che prevedono le garanzie elencate all'articolo 23, paragrafo 2, del regolamento generale sulla protezione dei dati del Regno Unito (in appresso «GDPR del Regno Unito») (8). In tali condizioni, i trasferimenti di dati personali dall'Unione verso il Regno Unito ai quali può applicarsi l'esenzione per motivi di immigrazione dovrebbero essere esclusi dall'ambito di applicazione della presente decisione (9). Una volta posto rimedio all'incompatibilità con il diritto del Regno Unito, l'esenzione per motivi di immigrazione dovrebbe essere riesaminata, come pure la necessità di mantenere la limitazione dell'ambito di applicazione della presente decisione.

(7)

La presente decisione non dovrebbe incidere sull'applicazione diretta del regolamento (UE) 2016/679 alle organizzazioni stabilite nel Regno Unito qualora siano soddisfatte le condizioni relative all'ambito di applicazione territoriale di tale regolamento, di cui all'articolo 3 dello stesso.

(8)

Il Regno Unito è una democrazia parlamentare che ha un sovrano costituzionale come capo di Stato. Dispone di un parlamento sovrano che costituisce l'autorità suprema rispetto a tutte le altre istituzioni pubbliche, di un potere esecutivo designato dal parlamento e responsabile di fronte a quest'ultimo, e di un potere giudiziario indipendente. Il potere esecutivo deriva la propria autorità dalla propria capacità di ottenere la fiducia della House of Commons (Camera dei Comuni) eletta, e risponde a entrambe le camere del parlamento competenti per l'esame dell'operato del governo nonché per la discussione e l'emanazione di leggi.

(9)

Il parlamento del Regno Unito ha delegato al parlamento scozzese, al parlamento gallese (Senedd Cymru) e all'assemblea dell'Irlanda del Nord il potere di legiferare, rispettivamente in Scozia, Galles e Irlanda del Nord, in materie interne che il parlamento del Regno Unito non ha riservato a sé stesso. Sebbene la protezione dei dati sia una materia di competenza del governo centrale, il che significa che la medesima legislazione si applica in tutto il paese, la regolamentazione di altri settori politici pertinenti per la presente decisione è stata delegata. Ad esempio i sistemi di giustizia penale, comprese le attività di polizia di Scozia e Irlanda del Nord, sono soggetti rispettivamente alla competenza del parlamento scozzese e dell'assemblea dell'Irlanda del Nord. Il Regno Unito non dispone di una costituzione codificata nel senso di un documento costitutivo attestato. I principi costituzionali si sono affermati nel corso del tempo, tratti in particolare dalla giurisprudenza e dalla convenzione. Il valore costituzionale di taluni statuti, quali la Magna Carta, il Bill of Rights 1689 e la Human Rights Act 1998 (legge del 1998 sui diritti umani), è stato riconosciuto dagli organi giurisdizionali. I diritti fondamentali delle persone fisiche sono stati sviluppati, come parte della costituzione, attraverso la «common law» (diritto giurisprudenziale), gli statuti corrispondenti e i trattati internazionali, in particolare la convenzione europea dei diritti dell'uomo che il Regno Unito ha ratificato nel 1951. Nel 1987 il Regno Unito ha ratificato altresì la convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (convenzione 108) (10).

(10)

La legge del 1998 sui diritti umani integra nel diritto del Regno Unito i diritti sanciti dalla convenzione europea dei diritti dell'uomo (CEDU). Tale legge accorda a qualsiasi persona fisica i diritti e le libertà fondamentali di cui agli articoli da 2 a 12 e 14 CEDU, agli articoli 1, 2 e 3 del suo primo protocollo e all'articolo 1 del suo tredicesimo protocollo, in combinato disposto con gli articoli 16, 17 e 18 CEDU. Tra di essi è compreso il diritto al rispetto della vita privata e familiare (così come il diritto alla protezione dei dati rientrante in tale diritto) e il diritto a un equo processo (11). In particolare, conformemente all'articolo 8 di tale convenzione, può esservi ingerenza da parte di un'autorità pubblica in relazione al diritto alla tutela della vita privata conformemente alla legge soltanto laddove ciò costituisca in una società democratica una misura necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell'ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.

(11)

Conformemente alla legge del 1998 sui diritti umani, qualsiasi azione delle autorità pubbliche deve essere compatibile con un diritto sancito da tale convenzione (12). Inoltre la legislazione primaria e quella subordinata vanno lette e attuate in maniera compatibile con i diritti sanciti da tale convenzione (13).

(12)

Il Regno Unito ha receduto dall'Unione europea il 31 gennaio 2020. In base all'accordo sul recesso del Regno Unito di Gran Bretagna e Irlanda del Nord dall'Unione europea e dalla Comunità europea dell'energia atomica (14), il diritto dell'Unione ha continuato ad applicarsi nel Regno Unito durante il periodo di transizione, fino al 31 dicembre 2020. Prima del recesso e durante il periodo di transizione, il quadro normativo in materia di protezione dei dati personali nel Regno Unito era costituito dalla legislazione UE pertinente (in particolare il regolamento (UE) 2016/679 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (15)) e dalla legislazione nazionale, in particolare la Data Protection Act 2018 (16) (legge del 2018 sulla protezione dei dati) che ha fissato norme nazionali, ove consentito dal regolamento (UE) 2016/679, specificando e limitando l'applicazione delle norme del regolamento (UE) 2016/679, e recepito la direttiva (UE) 2016/680.

(13)

In preparazione al recesso dall'Unione europea, il governo del Regno Unito ha emanato la European Union (Withdrawal) Act 2018 (17) (legge del 2018 relativa al recesso dall'Unione europea), che incorpora la legislazione dell'Unione direttamente applicabile nel diritto del Regno Unito (18). Tale cosiddetto «diritto dell'Unione mantenuto» comprende il regolamento (UE) 2016/679 nella sua interezza (compresi i suoi considerando) (19). Conformemente a tale atto, il diritto dell'Unione mantenuto senza modifiche deve essere interpretato dagli organi giurisdizionali del Regno Unito in conformità con la relativa giurisprudenza della Corte di giustizia dell'Unione europea e con i principi generali del diritto dell'Unione così come efficaci prima della fine del periodo di transizione (denominati rispettivamente «giurisprudenza dell'UE mantenuta» e «principi generali del diritto dell'UE mantenuti») (20).

(14)

Ai sensi della legge del 2018 relativa al recesso dall'Unione europea, i ministri del Regno Unito hanno il potere di introdurre diritto derivato, tramite strumenti legislativi, al fine di apportare le modifiche necessarie al diritto dell'Unione mantenuto in conseguenza del recesso del Regno Unito dall'Unione europea. Essi hanno esercitato tale potere adottando i Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (regolamenti DPPEC) (21). I regolamenti DPPEC modificano il regolamento (UE) 2016/679 come recepito nel diritto del Regno Unito attraverso la legge del 2018 relativa al recesso dall'Unione europea, la legge del 2018 sulla protezione dei dati e altra legislazione in materia di protezione dei dati, al fine di adattarlo al contesto interno (22).

(15)

Di conseguenza il quadro giuridico in materia di protezione dei dati personali del Regno Unito dopo la fine del periodo di transizione è costituito:

(16)

Dato che il GDPR del Regno Unito si basa sulla legislazione dell'UE, le norme in materia di protezione dei dati nel Regno Unito in molti aspetti rispecchiano da vicino le norme corrispondenti applicabili all'interno dell'Unione europea.

(17)

Oltre ai poteri conferiti al segretario di Stato dalla legge del 2018 relativa al recesso dall'Unione europea, diverse disposizioni della legge del 2018 sulla protezione dei dati conferiscono al segretario di Stato poteri per adottare diritto derivato per modificare talune disposizioni di detta legge o prevedere norme supplementari e aggiuntive (25). Finora il segretario di Stato ha esercitato il potere conferitogli dalla sezione 137 della legge del 2018 sulla protezione dei dati soltanto per adottare i Data Protection (Charges and Information) (Amendment) Regulations 2019 (regolamenti del 2019 in materia di protezione dei dati (contributi spese e informazioni) (modifica)), che stabiliscono le circostanze nelle quali i titolari del trattamento sono tenuti a versare un contributo spese annuo all'autorità di protezione dei dati indipendente del Regno Unito, ossia l'Information Commissioner.

(18)

Infine ulteriori orientamenti sulla legislazione in materia di protezione dei dati del Regno Unito sono forniti nei codici di pratica e in altri orientamenti adottati dall'Information Commissioner. Sebbene non siano formalmente giuridicamente vincolanti, tali orientamenti hanno valenza interpretativa e dimostrano come l'Information Commissioner applica e fa rispettare la legislazione in materia di protezione dei dati nella pratica. In particolare, gli articoli da 121 a 125 della legge del 2018 sulla protezione dei dati impongono all'Information Commissioner di preparare i codici di pratica in materia di condivisione di dati, marketing diretto, progettazione adeguata all'età, protezione dei dati e giornalismo.

(19)

In termini di struttura e componenti principali, il quadro giuridico del Regno Unito che si applica ai dati trasferiti nell'ambito della presente decisione è quindi molto simile a quello che si applica nell'Unione europea. Tale quadro non si basa soltanto sugli obblighi stabiliti dal diritto interno che sono stati modellati dal diritto dell'Unione, ma anche sugli obblighi sanciti dal diritto internazionale, in particolare attraverso l'adesione da parte del Regno Unito alla CEDU e alla convenzione 108, nonché il suo assoggettamento alla competenza giurisdizionale della Corte europea dei diritti dell'uomo. Tali obblighi derivanti da strumenti internazionali giuridicamente vincolanti, riguardanti in particolare la protezione dei dati personali, costituiscono pertanto un elemento di particolare importanza del quadro giuridico valutato nella presente decisione.

(20)

Analogamente al regolamento (UE) 2016/679, il GDPR del Regno Unito si applica al trattamento di dati personali svolto interamente o in parte ricorrendo a mezzi automatizzati, o ad altri trattamenti, se i dati personali costituiscono parte di un sistema di archiviazione (26). Le definizioni di «dati personali», «interessato» e «trattamento» di cui al GDPR del Regno Unito sono identiche a quelle del regolamento (UE) 2016/679 (27). Inoltre il GDPR del Regno Unito si applica al trattamento manuale e non strutturato di dati personali (28) detenuti da talune autorità pubbliche del Regno Unito (29), sebbene i principi e i diritti del GDPR del Regno Unito che non sono pertinenti per tali dati personali non vengano applicati ai sensi degli articoli 24 e 25 della legge del 2018 sulla protezione dei dati. Analogamente a quanto previsto dal regolamento (UE) 2016/679, il GDPR del Regno Unito non si applica al trattamento di dati personali da parte di una persona fisica nel contesto di un'attività puramente personale o domestica (30).

(21)

Il GDPR del Regno Unito estende il proprio ambito di applicazione anche al trattamento nel corso di un'attività che, immediatamente prima della fine del periodo di transizione, ricadeva al di fuori dell'ambito di applicazione del diritto dell'Unione europea (ad esempio sicurezza nazionale) (31) oppure rientrava nell'ambito di applicazione del titolo 5, capo 2, del trattato sull'Unione europea (attività relative alla politica estera e di sicurezza comune) (32). Come nel sistema in vigore nell'Unione europea, il GDPR del Regno Unito non si applica al trattamento di dati personali da parte di un'autorità competente per finalità di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compresa la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica (cosiddette «finalità di contrasto») (tale trattamento è invece disciplinato dalla parte 3 della legge del 2018 sulla protezione dei dati, come avviene per la direttiva (UE) 2016/680 ai sensi del diritto dell'Unione europea) né al trattamento di dati personali da parte dei servizi di intelligence (il Security Service, il Secret Intelligence Service e il Government Communications Headquarters) che rientra nell'ambito di applicazione della parte 4 della legge del 2018 sulla protezione dei dati (33).

(22)

L'ambito di applicazione territoriale del GDPR del Regno Unito è specificato all'articolo 3 del GDPR del Regno Unito (34) e comprende il trattamento di dati personali (indipendentemente da dove avviene) nel contesto delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nel Regno Unito, nonché il trattamento di dati personali di interessati che si trovano nel Regno Unito, quando le attività di trattamento sono legate all'offerta di beni o servizi a tali interessati o al monitoraggio del loro comportamento (35). Ciò riflette l'approccio adottato dall'articolo 3 del regolamento (UE) 2016/679.

(23)

Le definizioni di dati personali, trattamento, titolare del trattamento e responsabile del trattamento, così come la definizione di pseudonimizzazione, stabilite nel regolamento (UE) 2016/679 sono state mantenute senza modifiche sostanziali nel GDPR del Regno Unito (36). Inoltre le categorie particolari di dati sono definite dall'articolo 9, paragrafo 1, del GDPR del Regno Unito allo stesso modo del regolamento (UE) 2016/679 («[dati] che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona»). La sezione 205 della legge del 2018 sulla protezione dei dati fornisce la definizione di «dati biometrici» (37), «dati relativi alla salute» (38) e «dati genetici» (39).

(24)

I dati personali dovrebbero essere trattati in maniera lecita e corretta.

(25)

I principi di liceità, correttezza e trasparenza e le basi per il trattamento lecito sono garantiti nel diritto del Regno Unito attraverso l'articolo 5, paragrafo 1, lettera a), e l'articolo 6, paragrafo 1, del GDPR del Regno Unito, che sono identici alle rispettive disposizioni del regolamento (UE) 2016/679 (40). La sezione 8 della legge del 2018 sulla protezione dei dati integra l'articolo 6, paragrafo 1, lettera e), prevedendo che il trattamento di dati personali ai sensi dell'articolo 6, paragrafo 1, lettera e), del GDPR del Regno Unito (necessario per lo svolgimento di un compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il titolare del trattamento), comprende il trattamento dei dati personali necessario per l'amministrazione della giustizia, l'esercizio di una funzione di una delle due camere del parlamento, l'esercizio di una funzione conferita a una persona da un atto o da una norma, l'esercizio di una funzione della Corona, di un ministro della Corona o di un dipartimento governativo oppure un'attività che sostiene o promuove l'impegno democratico.

(26)

Per quanto concerne il consenso (una delle basi per il trattamento lecito), anche il GDPR del Regno Unito mantiene inalterate le condizioni previste dall'articolo 7 del regolamento (UE) 2016/679, ossia: il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso; una richiesta scritta di consenso deve essere presentata utilizzando un linguaggio semplice e chiaro; l'interessato deve avere il diritto di revocare il proprio consenso in qualsiasi momento; e, nel valutare se il consenso sia stato liberamente prestato, si deve tenere conto dell'eventualità che l'esecuzione di un contratto sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto. Inoltre, ai sensi dell'articolo 8 del GDPR del Regno Unito, nel contesto dell'erogazione di servizi della società dell'informazione il consenso di un minore è lecito soltanto se il minore ha almeno 13 anni. Tale soglia rientra nella fascia di età stabilita dall'articolo 8 del regolamento (UE) 2016/679.

(27)

Garanzie specifiche dovrebbero essere applicate al trattamento di «categorie particolari» di dati.

(28)

Il GDPR del Regno Unito e la legge del 2018 sulla protezione dei dati contengono norme specifiche per quanto riguarda il trattamento di categorie particolari di dati personali, definite dall'articolo 9, paragrafo 1, del GDPR del Regno Unito allo stesso modo del regolamento (UE) 2016/679 (cfr. considerando 23). Ai sensi dell'articolo 9 del GDPR del Regno Unito, il trattamento di categorie particolari di dati è in linea di principio vietato, fatto salvo il caso in cui si applichi un'eccezione specifica.

(29)

Tali eccezioni (elencate all'articolo 9, paragrafi 2 e 3, del GDPR del Regno Unito) non apportano modifiche sostanziali a quelle previste dall'articolo 9, paragrafi 2 e 3, del regolamento (UE) 2016/679. Fatto salvo il caso in cui l'interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali, il trattamento di categorie particolari di dati personali è consentito soltanto in circostanze specifiche e limitate. Nella maggior parte dei casi, il trattamento di dati sensibili deve essere necessario per una finalità specifica definita nella disposizione pertinente (cfr. articolo 9, paragrafo 2, lettere b), c), f), g), h), i) e j)).

(30)

Inoltre, quando un'eccezione ai sensi dell'articolo 9, paragrafo 2, del GDPR del Regno Unito richiede un'autorizzazione di legge o fa riferimento all'interesse pubblico, affinché possano essere invocate tali eccezioni occorre che siano soddisfatte le condizioni ulteriormente specificate dalla sezione 10 della legge del 2018 sulla protezione dei dati unitamente all'allegato 1 della medesima legge. Ad esempio nel caso di trattamento di dati sensibili per la tutela della «salute pubblica» (articolo 9, paragrafo 2, lettera i), del GDPR del Regno Unito), l'allegato 1, parte 1, paragrafo 3, lettera b), richiede che, oltre alla verifica della necessità, tale trattamento sia effettuato «da un operatore sanitario o sotto la sua responsabilità» oppure «da un'altra persona soggetta a un obbligo di riservatezza in base a un atto legislativo o una norma di legge», anche ai sensi dell'obbligo di riservatezza ben consolidato nella «common law».

(31)

Quando dati sensibili vengono trattati per motivi di interesse pubblico rilevante (articolo 9, paragrafo 2, lettera g), del GDPR del Regno Unito), l'allegato 1, parte 2, della legge del 2018 sulla protezione dei dati riporta un elenco esaustivo di finalità che possono essere considerate di interesse pubblico rilevante e, per ciascuna di esse, fissa condizioni aggiuntive specifiche. Ad esempio la promozione della diversità razziale ed etnica ad alti livelli dirigenziali di organizzazioni è riconosciuta come un interesse pubblico rilevante. Il trattamento di dati sensibili per questa finalità specifica è soggetto a requisiti dettagliati, tra cui il fatto che il trattamento sia effettuato nel contesto di un processo di individuazione delle persone idonee a ricoprire posizioni di alto livello, sia necessario per promuovere la diversità razziale ed etnica e non sia suscettibile di causare un danno sostanziale o una sofferenza sostanziale all'interessato.

(32)

La sezione 11, paragrafo 1, della legge del 2018 sulla protezione dei dati stabilisce le condizioni per il trattamento di dati personali nelle circostanze descritte dall'articolo 9, paragrafo 3, del GDPR del Regno Unito relative all'obbligo di segretezza. Rientrano in tale contesto circostanze nelle quali il trattamento viene svolto da o sotto la responsabilità di un professionista sanitario o sociale o da un'altra persona che in quelle circostanze è soggetta a un obbligo di riservatezza ai sensi di un atto legislativo o di una norma di legge.

(33)

Inoltre, molte eccezioni elencate all'articolo 9, paragrafo 2, del GDPR del Regno Unito richiedono garanzie adeguate e specifiche per essere invocate. A seconda della natura del trattamento e del livello di rischio per i diritti e le libertà degli interessati, le condizioni per il trattamento di cui all'allegato 1 della legge del 2018 sulla protezione dei dati stabiliscono garanzie differenti. L'allegato 1 stabilisce le condizioni per ciascuna situazione di trattamento individualmente.

(34)

In alcuni casi la legge del 2018 sulla protezione dei dati disciplina e limita il tipo di dati sensibili che possono essere trattati affinché sia rispettata una base giuridica specifica. Ad esempio il paragrafo 8 dell'allegato 1 autorizza il trattamento di dati sensibili per finalità di promozione della parità di opportunità o di trattamento. Tale condizione di trattamento può essere utilizzata soltanto se i dati rivelano l'origine razziale o etnica, le convinzioni religiose o filosofiche, l'orientamento sessuale oppure se si tratta di dati relativi alla salute.

(35)

In alcuni casi la legge del 2018 sulla protezione dei dati limita il tipo di titolare del trattamento che può invocare la condizione di trattamento. Ad esempio il paragrafo 23 dell'allegato 1 prevede il trattamento di dati sensibili in relazione alle risposte di rappresentanti eletti al pubblico. Tale condizione di trattamento può essere utilizzata soltanto se il titolare del trattamento è il rappresentante eletto o agisce sotto l'autorità di quest'ultimo.

(36)

In alcuni altri casi la legge del 2018 sulla protezione dei dati fissa dei limiti alle categorie di interessati affinché sia possibile utilizzare una condizione di trattamento. Ad esempio il paragrafo 21 dell'allegato 1 disciplina il trattamento di dati sensibili per regimi pensionistici. Tale condizione può essere utilizzata soltanto se l'interessato è un fratello, un genitore, un nonno o bisnonno del membro di tale regime.

(37)

Inoltre, quando si fa affidamento sulle eccezioni di cui all'articolo 9, paragrafo 2, del GDPR del Regno Unito che sono ulteriormente specificate nella sezione 10 della legge del 2018 sulla protezione dei dati unitamente all'allegato 1 della medesima legge, nella maggior parte dei casi il titolare del trattamento è tenuto a redigere un «documento adeguato di informativa». Tale documento deve descrivere le procedure del titolare del trattamento per garantire la conformità rispetto ai principi di cui all'articolo 5 del GDPR del Regno Unito. Deve inoltre stabilire le politiche per la conservazione e la cancellazione, con un'indicazione del periodo di conservazione probabile. I titolari del trattamento devono riesaminare ed aggiornare tale documento come opportuno. Il titolare del trattamento deve conservare il documento di informativa per sei mesi dopo che il trattamento si è concluso e deve renderlo disponibile all'Information Commissioner su richiesta (41).

(38)

Conformemente al paragrafo 41 dell'allegato 1 della legge del 2018 sulla protezione dei dati, il documento di informativa deve essere sempre accompagnato da un registro dei trattamenti più approfondito. Tale registro deve tenere traccia degli impegni inclusi nel documento di informativa, ossia indicare se i dati vengono cancellati o conservati in conformità con le politiche. Se le politiche non sono state seguite, il registro deve registrarne i motivi. Il registro deve altresì descrivere in che modo il trattamento soddisfa l'articolo 6 del GDPR del Regno Unito (liceità del trattamento) e la condizione specifica invocata di cui all'allegato 1 della legge del 2018 sulla protezione dei dati.

(39)

Infine, come avviene per il regolamento (UE) 2016/679, il GDPR del Regno Unito prevede altresì delle garanzie generali per determinati trattamenti di categorie particolari di dati. L'articolo 35 del GDPR del Regno Unito richiede una valutazione d'impatto sulla protezione dei dati se categorie particolari di dati vengono trattate su larga scala. Ai sensi dell'articolo 37 del GDPR del Regno Unito, il titolare del trattamento o il responsabile del trattamento deve designare un responsabile della protezione dei dati laddove le sue attività principali consistano in trattamenti di categorie particolari di dati su larga scala.

(40)

Per quanto concerne i dati personali relativi a condanne penali e reati, l'articolo 10 del GDPR del Regno Unito è identico all'articolo 10 del regolamento (UE) 2016/679. Tale articolo consente il trattamento di dati personali relativi a condanne penali e reati soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto interno che preveda garanzie appropriate per i diritti e le libertà degli interessati.

(41)

Se il trattamento di dati relativi a condanne penali e reati non viene effettuato sotto il controllo dell'autorità pubblica, la sezione 10, paragrafo 5, della legge del 2018 sulla protezione dei dati prevede che tale trattamento possa avvenire soltanto per le finalità specifiche/nelle situazioni specifiche di cui all'allegato 1, parti 1, 2 e 3, della legge del 2018 sulla protezione dei dati e sia soggetto ai requisiti specifici stabiliti per ciascuna di tali finalità/situazioni. Ad esempio i dati relativi alle condanne penali possono essere trattati da organismi senza scopo di lucro se il trattamento è effettuato: a) nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali e b) a condizione che i) il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e b) che i dati personali non siano comunicati all'esterno senza il consenso degli interessati.

(42)

Inoltre l'allegato 1, parte 3, della legge del 2018 sulla protezione dei dati stabilisce ulteriori circostanze nelle quali i dati relativi alle condanne penali possono essere utilizzati, che corrispondono alle basi giuridiche per il trattamento dei dati sensibili di cui all'articolo 9, paragrafo 2, del regolamento (UE) 2016/679 e del GDPR del Regno Unito (ad esempio, il consenso dell'interessato, un interesse vitale di una persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso, se i dati sono già stati resi manifestamente pubblici dall'interessato, se il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, ecc.).

(43)

I dati personali dovrebbero essere trattati per una finalità specifica ed essere utilizzati successivamente soltanto nella misura in cui l'uso non sia incompatibile con la finalità del trattamento.

(44)

Tale principio è sancito dall'articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 ed è stato mantenuto senza modifiche all'articolo 5, paragrafo 1, lettera b), del GDPR del Regno Unito. Le condizioni in merito a ulteriori trattamenti compatibili a norma dell'articolo 6, paragrafo 4, del regolamento (UE) 2016/679 sono state mantenute senza modifiche sostanziali all'articolo 6, paragrafo 4, lettere da a) ad e), del GDPR del Regno Unito.

(45)

Inoltre i dati dovrebbero essere esatti e, se necessario, dovrebbero essere aggiornati. Dovrebbero inoltre essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati; inoltre, in linea di principio, dovrebbero essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

(46)

Tali principi di minimizzazione dei dati, esattezza e limitazione della conservazione sono sanciti dall'articolo 5, paragrafo 1, lettere da c) ad e), del regolamento (UE) 2016/679 e sono mantenuti senza modifiche nell'articolo 5, paragrafo 1, lettere da c) ad e), del GDPR del Regno Unito.

(47)

I dati personali dovrebbero inoltre essere trattati in maniera da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. A tal fine gli operatori economici dovrebbero adottare misure tecniche o organizzative per proteggere i dati personali da possibili minacce. Tali misure dovrebbero essere valutate tenendo conto dello stato dell'arte e dei costi connessi.

(48)

La sicurezza dei dati è sancita dalla legge del Regno Unito attraverso il principio di integrità e della riservatezza di cui all'articolo 5, paragrafo 1, lettera f), e all'articolo 32 del GDPR del Regno Unito, concernenti la sicurezza del trattamento. Tali disposizioni sono identiche alle rispettive disposizioni del regolamento (UE) 2016/679. Inoltre, alle stesse condizioni di quelle di cui agli articoli 33 e 34 del regolamento (UE) 2016/679, il GDPR del Regno Unito richiede la notifica di una violazione dei dati personali all'autorità di controllo (articolo 33 del GDPR del Regno Unito) così come la comunicazione di una violazione dei dati personali all'interessato (articolo 34 del medesimo regolamento).

(49)

Gli interessati dovrebbero essere informati dei principali aspetti del trattamento dei dati personali che li riguardano.

(50)

Ciò è garantito dagli articoli 13 e 14 del GDPR del Regno Unito, che, oltre a un principio generale di trasparenza, prevede norme sulle informazioni da fornire all'interessato (42). Il GDPR del Regno Unito non introduce modifiche sostanziali a tali norme rispetto agli articoli corrispondenti del regolamento (UE) 2016/679. Tuttavia, come ai sensi del regolamento (UE) 2016/679, i requisiti di trasparenza di cui a tali articoli sono soggetti a diverse eccezioni stabilite nella legge del 2018 sulla protezione dei dati (cfr. considerando da 55 a 72).

(51)

Gli interessati dovrebbero disporre di determinati diritti azionabili nei confronti del titolare del trattamento o del responsabile del trattamento, in particolare il diritto di accesso ai dati, il diritto di opporsi al trattamento e il diritto di far rettificare e cancellare i dati. Allo stesso tempo, tali diritti possono essere soggetti a limitazioni, nella misura in cui tali limitazioni siano necessarie e proporzionate per salvaguardare la sicurezza pubblica o altri importanti obiettivi di interesse pubblico generale.

(52)

Il GDPR del Regno Unito garantisce alle persone fisiche i medesimi diritti azionabili di cui al regolamento (UE) 2016/679. Le disposizioni che riconoscono tali diritti delle persone fisiche sono state mantenute nel GDPR del Regno Unito senza modifiche sostanziali.

(53)

Tra tali diritti figurano il diritto di accesso dell'interessato (articolo 15 del GDPR del Regno Unito), il diritto di rettifica (articolo 16 del GDPR del Regno Unito), il diritto alla cancellazione (articolo 17 del GDPR del Regno Unito), il diritto di limitazione del trattamento (articolo 18 del GDPR del Regno Unito), un obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (articolo 19 del GDPR del Regno Unito), il diritto alla portabilità dei dati (articolo 20 del GDPR del Regno Unito) e il diritto di opposizione (articolo 21 del GDPR del Regno Unito) (43). Quest'ultimo comprende anche il diritto dell'interessato di opporsi al trattamento di dati personali per finalità di marketing diretto di cui all'articolo 21, paragrafi 2 e 3, del regolamento (UE) 2016/679. Inoltre, ai sensi della sezione 122 della legge del 2018 sulla protezione dei dati, l'Information Commissioner deve preparare un codice di pratica in relazione allo svolgimento di attività di marketing diretto in conformità con i requisiti della legislazione in materia di protezione dei dati [e i Privacy and Electronic Communications (EC Directive) Regulations 2003 — regolamenti del 2003 sulla tutela della vita privata e le comunicazioni elettroniche (direttiva CE)] nonché degli altri orientamenti destinati a promuovere buone pratiche nel contesto del marketing diretto che l'Information Commissioner ritiene adeguati. L'ufficio dell'Information Commissioner (ICO, Information Commissioner's Office) sta attualmente sviluppando il codice sul marketing diretto (44).

(54)

Il diritto dell'interessato a non essere soggetto a una decisione basata unicamente su un trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida analogamente in modo significativo sullo stesso, come previsto dall'articolo 22 del regolamento (UE) 2016/679, è stato anch'esso mantenuto nel GDPR del Regno Unito senza modifiche sostanziali. Tuttavia, è stato aggiunto un nuovo paragrafo (3A) per indicare che la sezione 14 della legge del 2018 sulla protezione dei dati stabilisce garanzie per i diritti, le libertà e i legittimi interessi degli interessati quando il trattamento è effettuato ai sensi dell'articolo 22, paragrafo 2, lettera b), del GDPR del Regno Unito. Ciò si applica solo quando la base per tale decisione è un'autorizzazione o un requisito ai sensi del diritto del Regno Unito, e non si applica se la decisione è necessaria ai sensi di un contratto o se effettuata con il consenso esplicito dell'interessato. Quando si applica la sezione 14 della legge del 2018 sulla protezione dei dati, non appena ragionevolmente fattibile, il titolare del trattamento deve notificare all'interessato per iscritto che è stata adottata una decisione basata unicamente sul trattamento automatizzato. L'interessato ha quindi il diritto, entro un mese dalla ricezione della notifica, di richiedere al titolare del trattamento di riconsiderare la decisione o di adottare una nuova decisione non basata unicamente sul trattamento automatizzato. Al segretario di Stato sono conferiti poteri per adottare ulteriori garanzie per quanto concerne il processo decisionale automatizzato. Tali poteri non sono ancora stati esercitati.

(55)

La legge del 2018 sulla protezione dei dati stabilisce diverse limitazioni a diritti individuali che si inseriscono nel quadro dell'articolo 23 del GDPR del Regno Unito. In tale contesto non viene introdotta alcuna limitazione relativa al diritto di opposizione al marketing diretto come previsto dall'articolo 21, paragrafi 2 e 3, del GDPR del Regno Unito o al diritto di non essere soggetti a un processo decisionale automatizzato come previsto dall'articolo 22 del GDPR del Regno Unito.

(56)

Le limitazioni sono dettagliate negli allegati da 2 a 4 della legge del 2018 sulla protezione dei dati. Le autorità del Regno Unito hanno spiegato di seguire due principi: il principio di specificità (adottando un approccio granulare, suddividendo limitazioni di ampia portata in un numero maggiore di disposizioni più specifiche) e il principio di condizionalità (ciascuna disposizione è integrata da garanzie sotto forma di limitazioni o condizioni per prevenire abusi) (45).

(57)

Le limitazioni di cui all'articolo 23, paragrafo 1, del GDPR del Regno Unito sono progettate per garantire che esse si applichino soltanto in circostanze specifiche, ove necessario in una società democratica e proporzionato in relazione alla finalità legittima perseguita. Inoltre, conformemente alla giurisprudenza consolidata in materia di interpretazione di limitazioni, un'esenzione dal regime di protezione dei dati può applicarsi soltanto in un caso particolare laddove sia necessario e proporzionato procedere in tal senso (46). È richiesto che la verifica della necessità sia «rigorosa e richieda che qualsiasi ingerenza nei diritti dell'interessato sia proporzionata alla gravità della minaccia per l'interesse pubblico. Tale esercizio comporta pertanto una classica analisi della proporzionalità (47)».

(58)

Gli obiettivi perseguiti da tali limitazioni corrispondono a quelli elencati dall'articolo 23 del regolamento (UE) 2016/679, fatta eccezione per le limitazioni per la sicurezza nazionale e la difesa che sono invece disciplinate dalla sezione 26 della legge del 2018 sulla protezione dei dati, ma che sono soggette ai medesimi requisiti in termini di necessità e proporzionalità (cfr. considerando da 63 a 66).

(59)

Alcune delle limitazioni, ad esempio quelle relative alla prevenzione o all'accertamento di reati, all'arresto o al perseguimento di autori di reati e alla valutazione o alla riscossione di imposte o diritti (48), consentono limitazioni in relazione a tutti i diritti individuali e agli obblighi di trasparenza (esclusi i diritti di cui all'articolo 21, paragrafo 2, e all'articolo 22). La portata di altre limitazioni è limitata agli obblighi di trasparenza e ai diritti di accesso, come nel caso delle limitazioni relative al segreto professionale (49), al diritto alla libertà dall'obbligo di fornire informazioni che porterebbero a un'autoincriminazione (50) e alla finanza d'impresa, in particolare la prevenzione dell'abuso di informazioni privilegiate (insider trading) (51). Sono poche le limitazioni che consentono una limitazione rispetto all'obbligo del titolare del trattamento di comunicare una violazione dei dati a un interessato e ai principi di limitazione della finalità, nonché di liceità, correttezza e trasparenza del trattamento (52).

(60)

Alcune delle limitazioni si applicano automaticamente «integralmente» a un certo tipo di trattamento di dati personali (ad esempio l'applicazione degli obblighi di trasparenza e dei diritti individuali è esclusa quando i dati personali vengono trattati per finalità di valutazione dell'idoneità di una persona a ricoprire una carica giudiziaria oppure quando i dati personali vengono trattati da un organo giurisdizionale o da una persona fisica che agisce nell'esercizio delle proprie funzioni giurisdizionali).

(61)

Tuttavia, nella maggior parte dei casi, il paragrafo pertinente dell'allegato 2 della legge del 2018 specifica che la limitazione si applica soltanto quando (e nella misura in cui) l'applicazione delle disposizioni «possa pregiudicare» l'obiettivo legittimo perseguito da tale limitazione: ad esempio, le disposizioni elencate del GDPR del Regno Unito non si applicano ai dati personali trattati a fini di prevenzione o accertamento di reati, arresto o perseguimento di autori di reati, oppure valutazione o riscossione di imposte o diritti «nella misura in cui l'applicazione di tali disposizioni possa pregiudicare» una di tali finalità (53).

(62)

Secondo l'interpretazione costante degli organi giurisdizionali del Regno Unito, l'espressione «possa pregiudicare» indica «una probabilità molto significativa e seria di pregiudicare gli interessi pubblici individuati» (54). Una limitazione soggetta al criterio del pregiudizio può pertanto essere invocata solo se, e nella misura in cui, vi sia una probabilità molto significativa e seria che la concessione di un determinato diritto pregiudichi l'interesse pubblico in questione. Spetta al titolare del trattamento valutare caso per caso se tali condizioni siano soddisfatte (55).

(63)

Oltre alle limitazioni di cui all'allegato 2 della legge del 2018 sulla protezione dei dati, la sezione 26 della legge del 2018 sulla protezione dei dati prevede un'esenzione che può essere applicata a talune disposizioni del GDPR del Regno Unito e della legge del 2018 sulla protezione dei dati se tale esenzione è necessaria al fine di salvaguardare la sicurezza nazionale o per finalità di difesa. Tale esenzione si applica ai principi di protezione dei dati (fatta eccezione per il principio di liceità), agli obblighi di trasparenza, ai diritti dell'interessato, all'obbligo di notificare una violazione dei dati, alle norme sui trasferimenti internazionali, ad alcune delle mansioni e ad alcuni dei poteri dell'Information Commissioner, nonché alle norme sui mezzi di ricorso, sulle responsabilità e sulle sanzioni, fatta eccezione per la disposizione concernente le condizioni generali per l'imposizione di sanzioni amministrative pecuniarie di cui all'articolo 83 e per la disposizione sulle sanzioni di cui all'articolo 84 del GDPR del Regno Unito. Inoltre la sezione 28 della legge del 2018 sulla protezione dei dati modifica l'applicazione dell'articolo 9, paragrafo 1, al fine di consentire il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, del GDPR del Regno Unito nella misura in cui il trattamento venga effettuato per salvaguardare la sicurezza nazionale o per finalità di difesa e con garanzie adeguate per i diritti e le libertà degli interessati (56).

(64)

L'esenzione può essere applicata soltanto nella misura in cui essa sia necessaria per salvaguardare la sicurezza nazionale o la difesa. Come per le altre esenzioni previste dalla legge del 2018 sulla protezione dei dati, tale esenzione deve essere considerata e invocata dal titolare del trattamento caso per caso. Inoltre qualsiasi applicazione dell'esenzione deve essere conforme alle norme in materia di diritti umani (sostenute dalla legge del 1998 sui diritti umani), secondo le quali qualsiasi ingerenza rispetto ai diritti in materia di tutela della vita privata dovrebbe essere necessaria e proporzionata in una società democratica (57).

(65)

Tale interpretazione dell'esenzione è confermata dall'ICO, che ha emanato orientamenti dettagliati sull'applicazione dell'esenzione per motivi di sicurezza nazionale e difesa, chiarendo che essa deve essere presa in considerazione e applicata dal titolare del trattamento caso per caso (58). In particolare, gli orientamenti sottolineano che «non si tratta di un'esenzione generalizzata» e che, per invocarla, «non è sufficiente che i dati siano trattati a fini di sicurezza nazionale». Il titolare del trattamento che se ne avvale deve «dimostrare l'effettiva possibilità di un effetto negativo sulla sicurezza nazionale» e, se necessario, «fornire [all'ICO] le prove del motivo per cui si è avvalso di tale esenzione». Gli orientamenti contengono una lista di controllo e una serie di esempi per chiarire ulteriormente le condizioni alle quali tale esenzione può essere invocata.

(66)

Il fatto che i dati vengano trattati per finalità di difesa o di sicurezza nazionale non è pertanto di per sé sufficiente per applicare tale esenzione. Un titolare del trattamento deve considerare le conseguenze effettive per la sicurezza nazionale qualora dovesse rispettare la disposizione specifica in materia di protezione dei dati. L'esenzione può essere applicata soltanto a quelle disposizioni specifiche che sono state individuate costituire un rischio e deve essere applicata nella maniera più restrittiva possibile (59).

(67)

Tale approccio è stato confermato dall'Information Tribunal (60) (tribunale competente in materia di informazione). Nella causa Baker v Secretary of State for the Home Department («Baker v Secretary of State»), detto organo giurisdizionale ha stabilito che era illecito applicare l'esenzione per motivi di sicurezza nazionale come un'esenzione globale in relazione a richieste di accesso ricevute dai servizi di intelligence. Tale esenzione doveva invece essere applicata caso per caso, esaminando ciascuna richiesta nel merito e tenuto conto del diritto delle persone fisiche al rispetto della loro vita privata (61).

(68)

L'articolo 85, paragrafo 2, del GDPR del Regno Unito consente l'emissione di disposizioni affinché i dati personali trattati per finalità giornalistiche, artistiche, accademiche e letterarie siano esentati dall'applicazione di diverse disposizioni del GDPR del Regno Unito. L'allegato 2, parte 5, della legge del 2018 sulla protezione dei dati stabilisce le esenzioni per il trattamento per tali finalità. Prevede esenzioni rispetto ai principi di protezione dei dati (fatta eccezione per il principio di integrità e riservatezza), alle basi giuridiche per il trattamento (incluse categorie particolari di dati e dati su condanne penali, ecc.), alle condizioni per il consenso, agli obblighi di trasparenza, ai diritti degli interessati, all'obbligo di notificare violazioni dei dati e al requisito di consultare l'Information Commissioner prima di un trattamento soggetto a rischio elevato nonché alle norme in materia di trasferimenti internazionali (62). A tale riguardo, il GDPR del Regno Unito non si discosta in maniera sostanziale dal regolamento (UE) 2016/679, il quale al suo articolo 85 prevede anch'esso la possibilità di esentare il trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria da una serie di requisiti sanciti dal regolamento (UE) 2016/679 stesso. Le disposizioni della legge del 2018 sulla protezione dei dati, in particolare l'allegato 2, parte 5, sono compatibili con il GDPR del Regno Unito.

(69)

L'esercizio principale di equilibrio da effettuare a norma dell'articolo 85 del GDPR del Regno Unito riguarda l'eventualità che un'esenzione rispetto alle norme in materia di protezione dei dati di cui al considerando 68 sia «necessaria per riconciliare il diritto alla protezione dei dati personali con la libertà di espressione e informazione» (63). Conformemente all'allegato 2, paragrafo 26, punti 2 e 3, della legge del 2018 sulla protezione dei dati, il Regno Unito applica una verifica della «convinzione ragionevole» al fine di assicurate tale equilibrio. Affinché il ricorso a un'esenzione sia giustificato, il titolare del trattamento deve ritenere ragionevolmente: i) che la pubblicazione sia nell'interesse pubblico; e ii) che l'applicazione della disposizione pertinente del regolamento generale sulla protezione dei dati sia incompatibile con finalità giornalistiche, accademiche, artistiche o letterarie. Come confermato dalla giurisprudenza (64), la verifica della «convinzione ragionevole» presenta tanto una componente soggettiva quanto una componente oggettiva: non è sufficiente per il titolare del trattamento dimostrare che egli stesso riteneva che la conformità fosse incompatibile. La sua convinzione deve essere ragionevole, ossia deve poter essere condivisa da una persona ragionevole che conosca i fatti pertinenti. Il titolare del trattamento deve quindi esercitare la dovuta diligenza quando forma la propria convinzione per essere in grado di dimostrare la ragionevolezza. Secondo le spiegazioni fornite dalle autorità del Regno Unito, la verifica della «convinzione ragionevole» deve essere effettuata in relazione a ogni singola esenzione caso per caso (65). Se le condizioni sono soddisfatte, l'esenzione è considerata necessaria e proporzionata ai sensi del diritto del Regno Unito.

(70)

Conformemente alla sezione 124 della legge del 2018 sulla protezione dei dati, l'ICO deve preparare un codice di pratica sulla protezione dei dati e il giornalismo. I lavori in relazione a tale codice sono in corso. Sono stati pubblicati orientamenti in merito a questa questione ai sensi della legge del 1998 sulla protezione dei dati che sottolineano in particolare che, per fare affidamento su tale esenzione, non è sufficiente affermare semplicemente che il rispetto delle norme costituirebbe un inconveniente per le attività dei giornalisti, ma deve sussistere un'argomentazione chiara a sostegno del fatto che la disposizione in questione costituisce un ostacolo per il giornalismo responsabile (66). L'autorità di regolamentazione per le comunicazioni del Regno Unito, l'Ofcom, e la BBC nelle sue linee guida editoriali hanno pubblicato orientamenti sull'applicazione della verifica dell'interesse pubblico e dell'equilibrio tra interesse pubblico e interesse di una persona fisica alla tutela della sua vita privata (67). Tali orientamenti forniscono in particolare esempi di informazioni che possono essere considerate nell'interesse pubblico e spiegano la necessità di essere in grado di dimostrare che l'interesse pubblico prevale sui diritti alla tutela della vita privata in particolari circostanze del caso.

(71)

Analogamente a quanto previsto dall'articolo 89 del GDPR del Regno Unito, anche i dati personali trattati per finalità di archiviazione nell'interesse pubblico, per finalità di ricerca scientifica o storica o per finalità statistiche possono essere esentati da una serie di disposizioni elencate dal medesimo regolamento (68). Per quanto riguarda la ricerca e la statistica, sono possibili esenzioni rispetto alle disposizioni del GDPR del Regno Unito concernenti la conferma del trattamento, l'accesso ai dati e le garanzie per i trasferimenti verso paesi terzi; il diritto di rettifica; la limitazione di trattamento e l'opposizione al trattamento. Per quanto concerne l'archiviazione nell'interesse pubblico, sono possibili anche esenzioni in relazione all'obbligo di notifica per quanto riguarda la rettifica o la cancellazione di dati personali o la limitazione di trattamento e al diritto alla portabilità dei dati.

(72)

Secondo il paragrafo 27, punto 1, e il paragrafo 28, punto 1, dell'allegato 2 della legge del 2018 sulla protezione dei dati, sono possibili esenzioni rispetto alle disposizioni elencate nel GDPR del Regno Unito se l'applicazione delle disposizioni «impedisce o compromette seriamente il conseguimento» delle finalità in questione (69).

(73)

Data la rilevanza delle esenzioni per l'esercizio effettivo dei diritti individuali, nel contesto del monitoraggio continuo della presente decisione (70) si terrà debitamente conto di qualsiasi sviluppo pertinente riguardante l'interpretazione e l'applicazione pratica delle esenzioni summenzionate (oltre a quella relativa al mantenimento dell'effettivo controllo dell'immigrazione, come spiegato al considerando 6), compreso qualsiasi ulteriore sviluppo della giurisprudenza e degli orientamenti dell'ICO e delle azioni di esecuzione.

(74)

Il livello di protezione offerto ai dati personali trasferiti dall'Unione europea verso titolari del trattamento o responsabili del trattamento nel Regno Unito non deve essere compromesso da ulteriori trasferimenti di tali dati a destinatari che si trovano in un paese terzo. Tali «trasferimenti successivi», che dal punto di vista del titolare del trattamento o del responsabile del trattamento del Regno Unito costituiscono trasferimenti internazionali dal Regno Unito, dovrebbero essere autorizzati soltanto nel caso in cui anche il destinatario successivo al di fuori del Regno Unito sia soggetto a norme che garantiscono un livello di protezione analogo a quello garantito dall'ordinamento giuridico del Regno Unito. Per questo motivo l'applicazione delle norme del GDPR del Regno Unito e della legge del 2018 sulla protezione dei dati in materia di trasferimenti internazionali dei dati personali costituisce un elemento importante per garantire la continuità della protezione nel caso dei dati personali trasferiti dall'Unione europea verso il Regno Unito ai sensi della presente decisione.

(75)

Il regime in materia di trasferimenti internazionali di dati personali dal Regno Unito è definito agli articoli da 44 a 49 del GDPR del Regno Unito, integrati dalla legge del 2018 sulla protezione dei dati, ed è sostanzialmente identico alle norme stabilite al capo V del regolamento (UE) 2016/679 (71). I trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale possono avvenire soltanto sulla base di regolamenti di adeguatezza (lo strumento del Regno Unito equivalente a una decisione di adeguatezza ai sensi del regolamento (UE) 2016/679), o, in assenza di regolamenti di adeguatezza, laddove il titolare del trattamento o il responsabile del trattamento abbia fornito garanzie adeguate conformemente all'articolo 46 del GDPR del Regno Unito. In assenza di regolamenti di adeguatezza o garanzie adeguate, un trasferimento può avvenire soltanto sulla base di deroghe di cui all'articolo 49 del GDPR del Regno Unito.

(76)

I regolamenti di adeguatezza emessi dal segretario di Stato possono stabilire che un paese terzo (o un territorio o un settore all'interno di un paese terzo), un'organizzazione internazionale o una descrizione (72) di tale paese, territorio, settore od organizzazione assicuri un livello adeguato di protezione dei dati personali. Nel valutare l'adeguatezza del livello di protezione, il segretario di Stato deve tenere conto degli stessi identici elementi che la Commissione è tenuta a valutare ai sensi dell'articolo 45, paragrafo 2, lettere da a) a c), del regolamento (UE) 2016/679, interpretato in combinato disposto con il considerando 104 del regolamento (UE) 2016/679 e con la giurisprudenza dell'UE mantenuta. Ciò significa che, nel valutare il livello di protezione adeguato di un paese terzo, il riferimento pertinente sarà se il paese terzo in questione assicura un livello di protezione «sostanzialmente equivalente» a quello garantito nel Regno Unito.

(77)

Per quanto riguarda la procedura, i regolamenti di adeguatezza sono soggetti ai requisiti procedurali «generali» previsti dalla sezione 182 della legge del 2018 sulla protezione dei dati. Secondo tale procedura, quando propone futuri regolamenti di adeguatezza del Regno Unito il segretario di Stato deve consultare l'Information Commissioner (73). Una volta adottati dal segretario di Stato, tali regolamenti sono presentati al parlamento e sottoposti alla procedura di «risoluzione negativa» nel contesto della quale entrambe le camere del parlamento possono esaminare il regolamento e hanno la facoltà di presentare una mozione di annullamento del regolamento stesso entro un termine 40 giorni (74).

(78)

Ai sensi della sezione 17B, paragrafo 1, della legge del 2018 sulla protezione dei dati, i regolamenti di adeguatezza devono essere riesaminati ad intervalli di tempo non superiori a quattro anni e il segretario di Stato deve monitorare continuativamente gli sviluppi in paesi terzi ed organizzazioni internazionali che potrebbero incidere sulle decisioni di emettere regolamenti di adeguatezza o di modificare o revocare tali regolamenti. Se il segretario di Stato viene a conoscenza del fatto che un determinato paese o una determinata organizzazione non garantisce più un livello adeguato di protezione dei dati personali, deve, nella misura necessaria, modificare o revocare i regolamenti e avviare consultazioni con il paese terzo o l'organizzazione internazionale in questione in maniera da porre rimedio alla mancanza di un livello adeguato di protezione. Tali aspetti procedurali rispecchiano altresì i requisiti corrispondenti del regolamento (UE) 2016/679.

(79)

In assenza di regolamenti di adeguatezza, i trasferimenti internazionali possono aver luogo laddove il titolare del trattamento o il responsabile del trattamento abbia fornito garanzie adeguate conformemente all'articolo 46 del GDPR del Regno Unito. Tali garanzie sono analoghe a quelle di cui all'articolo 46 del regolamento (UE) 2016/679. Tra esse figurano strumenti giuridicamente vincolanti e aventi efficacia esecutiva tra autorità pubbliche o organismi pubblici, norme vincolanti d'impresa (75), clausole tipo di protezione dei dati, codici di condotta approvati, meccanismi di certificazione approvati e, previa autorizzazione da parte dell'Information Commissioner, clausole contrattuali tra titolari del trattamento (o responsabili del trattamento) o accordi amministrativi tra autorità pubbliche. Tuttavia le norme sono state modificate, da un punto di vista procedurale, per funzionare all'interno del quadro del Regno Unito, in particolare le clausole tipo di protezione dei dati possono essere adottate dal segretario di Stato (sezione 17C) o dall'Information Commissioner (sezione 119A) in conformità con la legge del 2018 sulla protezione dei dati.

(80)

In assenza una decisione di adeguatezza o di garanzie adeguate, un trasferimento può avvenire soltanto sulla base delle deroghe di cui all'articolo 49 del GDPR del Regno Unito (76). Il GDPR del Regno Unito non introduce modifiche sostanziali a tali deroghe, rispetto alle norme corrispondenti del regolamento (UE) 2016/679. Ai sensi del GDPR del Regno Unito, così come ai sensi del regolamento (UE) 2016/679, è possibile fare affidamento su talune deroghe soltanto se il trasferimento è occasionale (77). Inoltre, nei suoi orientamenti in materia di trasferimenti internazionali, l'ICO chiarisce che: «si dovrebbe fare affidamento su tali deroghe soltanto come vere e proprie 'eccezioni' rispetto alla norma generale secondo la quale non si dovrebbe effettuare un trasferimento limitato fatto salvo il caso in cui esso sia coperto da una decisione di adeguatezza o sussistano garanzie adeguate» (78). Per quanto concerne i trasferimenti necessari per importanti motivi di interesse pubblico (articolo 49, paragrafo 1, lettera d)), il segretario di Stato può emettere regolamenti per specificare le circostanze nelle quali un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale non è necessario per importanti motivi di interesse pubblico. Mediante regolamenti il segretario di Stato può inoltre limitare il trasferimento di una categoria di dati personali verso un paese terzo o un'organizzazione internazionale laddove il trasferimento non possa avvenire sulla base di regolamenti di adeguatezza e il Segretario di Stato ritenga che la limitazione sia necessaria per importanti motivi di interesse pubblico. Ad oggi non sono stati adottati regolamenti di tale sorta.

(81)

Questo quadro per i trasferimenti internazionali è diventato applicabile alla fine del periodo di transizione (79). Tuttavia il paragrafo 4 dell'allegato 21 della legge del 2018 sulla protezione dei dati (introdotto dai regolamenti DPPEC) prevede che, a partire dalla fine del periodo di transizione, alcuni trasferimenti di dati personali siano trattati come se fossero basati su regolamenti di adeguatezza. Tra tali trasferimenti figurano quelli verso uno Stato SEE, il territorio di Gibilterra, un'istituzione, un organo o un organismo dell'Unione istituito dal trattato UE, o in base ad esso, nonché verso paesi terzi che erano oggetto di una decisione di adeguatezza dell'UE alla fine del periodo di transizione. Di conseguenza i trasferimenti verso tali paesi possono continuare come prima del recesso del Regno Unito dall'Unione europea. Dopo la fine del periodo di transizione, il segretario di Stato deve condurre un riesame di tali accertamenti di adeguatezza entro un termine di quattro anni, ossia entro la fine del dicembre 2024. Secondo la spiegazione fornita dalle autorità del Regno Unito, sebbene il segretario di Stato debba intraprendere tale riesame entro la fine di dicembre 2024, le disposizioni transitorie non comprendono una disposizione relativa alla scadenza e le disposizioni transitorie pertinenti non cesseranno automaticamente di avere effetto se un riesame non viene completato entro la fine di dicembre del 2024.

(82)

Infine, per quanto riguarda la futura evoluzione del regime del Regno Unito in materia di trasferimenti internazionali — attraverso l'adozione di nuovi regolamenti di adeguatezza, la conclusione di accordi internazionali o lo sviluppo di altri meccanismi di trasferimento — la Commissione monitorerà attentamente la situazione, valuterà se i diversi meccanismi di trasferimento siano utilizzati in modo da garantire la continuità della protezione e, se necessario, adotterà misure adeguate per affrontare i possibili effetti negativi per tale continuità (cfr. considerando da 278 a 287). Poiché l'UE e il Regno Unito condividono norme analoghe in materia di trasferimenti internazionali, si dovrebbero poter evitare divergenze problematiche anche attraverso la cooperazione, lo scambio di informazioni e la condivisione di esperienze, incluso tra l'ICO e l'EDPB.

(83)

Secondo il principio di responsabilizzazione, i soggetti che trattano dati sono tenuti a mettere in atto misure tecniche e organizzative adeguate per rispettare effettivamente i loro obblighi in materia di protezione dei dati e per essere in grado di dimostrare tale rispetto, in particolare all'autorità di controllo competente.

(84)

Il principio di responsabilizzazione previsto dal regolamento (UE) 2016/679 è stato mantenuto nell'articolo 5, paragrafo 2, del GDPR del Regno Unito senza modifiche sostanziali e lo stesso vale per l'articolo 24 sulla responsabilità del titolare del trattamento, l'articolo 25 sulla protezione dei dati fin dalla progettazione e protezione per impostazione predefinita e per l'articolo 30 sui registri delle attività di trattamento. Anche gli articoli 35 e 36 sulla valutazione d'impatto sulla protezione dei dati e sulla consultazione preventiva sono stati mantenuti. Gli articoli da 37 a 39 del regolamento (UE) 2016/679 sulla designazione del responsabile della protezione dei dati e sui suoi compiti sono stati mantenuti nel GDPR del Regno Unito senza modifiche sostanziali. Inoltre le disposizioni di cui agli articoli 40 e 42 del regolamento (UE) 2016/679 sui codici di condotta e sulla certificazione sono state mantenute nel GDPR del Regno Unito (80).

(85)

Al fine di garantire un adeguato livello di protezione dei dati nella pratica, dovrebbe esistere un'autorità di controllo indipendente cui siano conferiti i poteri di monitorare e assicurare il rispetto delle norme in materia di protezione dei dati. Tale autorità dovrebbe agire in piena indipendenza e imparzialità nell'esercizio delle proprie funzioni e dei propri poteri.

(86)

Nel Regno Unito la vigilanza e l'applicazione del rispetto del GDPR del Regno Unito e della legge del 2018 sulla protezione dei dati spettano all'Information Commissioner. L'Information Commissioner è una «corporate sole», ossia un'entità giuridica distinta costituita da un socio unico. Nelle sue attività l'Information Commissioner è sostenuto da un ufficio, il cui personale al 31 marzo 2020 era composto di 768 membri permanenti (81). Il dipartimento di riferimento dell'Information Commissioner è il dipartimento per il Digitale, la cultura, i media e lo sport (82).

(87)

L'indipendenza dell'Information Commissioner è sancita esplicitamente dall'articolo 52 del GDPR del Regno Unito che non attua alcuna modifica sostanziale rispetto all'articolo 52, paragrafi da 1 a 3, del regolamento (UE) 2016/679. L'Information Commissioner deve agire in piena indipendenza nell'adempimento dei propri compiti e nell'esercizio dei propri poteri conformemente al GDPR del Regno Unito, non subire pressioni esterne, né dirette né indirette, e non sollecitare né accettare istruzioni da alcuno. L'Information Commissioner deve astenersi da qualunque azione incompatibile con le proprie funzioni e per tutta la durata del mandato non può esercitare alcuna altra attività incompatibile, remunerata o meno.

(88)

Le condizioni per la nomina e la revoca dell'incarico dell'Information Commissioner sono stabilite nell'allegato 12 della legge del 2018 sulla protezione dei dati. L'Information Commissioner è nominato dalla Regina su raccomandazione del governo in seguito a un concorso equo e aperto. Il candidato deve disporre di qualifiche, competenze e capacità adeguate. In conformità con il Governance Code on Public Appointments (83) (codice sulla governance sulle nomine pubbliche), un gruppo consultivo di valutazione stila un elenco di candidati nominabili. Prima che il segretario di Stato del dipartimento per il Digitale, la cultura, i media e lo sport finalizzi la propria decisione, la commissione ad hoc pertinente del parlamento deve effettuare uno scrutinio pre-nomina. La posizione di tale commissione è resa pubblica (84).

(89)

L'Information Commissioner resta in carica per un mandato massimo di sette anni. Una persona non può essere nominata Information Commissioner più di una volta. Il suo incarico può essere revocato dalla Regina a seguito di una raccomandazione prestata da entrambe le camere del parlamento (85). Non può essere presentata alcuna rimozione dall'incarico dell'Information Commissioner ad alcuna delle camere del parlamento fintantoché un ministro non abbia presentato una relazione nella quale ha affermato di essere convinto che l'Information Commissioner si sia reso colpevole di una colpa grave e/o non soddisfi più le condizioni richieste per lo svolgimento delle sue funzioni spettanti (86).

(90)

I finanziamenti dell'Information Commissioner provengono da tre fonti: i) contributi spese in materia di protezione dei dati versati dai titolari del trattamento, che sono fissati da regolamenti di un segretario di Stato (87) (i regolamenti del 2018 in materia di protezione dei dati (contributi spese e informazioni)), e ammontano all'85 %-90 % del bilancio annuale dell'ICO (88); ii) una sovvenzione che può essere corrisposta dal governo all'Information Commissioner. Una sovvenzione viene utilizzata principalmente per finanziare i costi operativi dell'Information Commissioner in relazione a compiti concernenti attività non correlate alla protezione di dati (89); e iii) commissioni addebitate per servizi (90). Attualmente, tali commissioni non vengono addebitate.

(91)

Le funzioni generali dell'Information Commissioner in relazione al trattamento di dati personali al quale si applica il GDPR del Regno Unito sono stabilite nell'articolo 57 del GDPR del Regno Unito, il quale rispecchia da vicino le norme corrispondenti del regolamento (UE) 2016/679. Le sue funzioni comprendono il monitoraggio e l'assicurazione del rispetto del GDPR del Regno Unito, la promozione della sensibilizzazione del pubblico, la gestione dei reclami promossi dagli interessati, lo svolgimento di indagini, ecc. Inoltre la sezione 115 della legge del 2018 sulla protezione dei dati stabilisce altre funzioni generali dell'Information Commissioner che comprendono un obbligo di consigliare il parlamento, il governo e altre istituzioni e organismi sulle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone in relazione al trattamento dei dati personali, nonché un potere di emettere, su iniziativa propria dell'Information Commissioner o su richiesta, pareri indirizzati al parlamento, al governo o altre istituzioni e organismi nonché al pubblico su qualsiasi questione relativa alla protezione dei dati personali. Ai fini del mantenimento dell'indipendenza del potere giudiziario, l'Information Commissioner non è autorizzato a esercitare le sue funzioni in relazione al trattamento di dati personali da parte di un soggetto o di un organo giurisdizionale che agisce nell'esercizio delle proprie funzioni giurisdizionali. Tuttavia la vigilanza sul potere giudiziario è assicurata da organismi specializzati (cfr. considerando da 99 a 103).

(92)

I poteri dell'Information Commissioner sono stabiliti dall'articolo 58 del GDPR del Regno Unito, che non introduce modifiche sostanziali al corrispondente articolo del regolamento (UE) 2016/679. La legge del 2018 sulla protezione dei dati stabilisce norme supplementari sulle modalità con cui tali poteri possono essere esercitati. In particolare, l'Information Commissioner dispone dei poteri per: a) ordinare al titolare del trattamento e al responsabile del trattamento (e in determinate circostanze a qualsiasi altra persona) di fornire informazioni necessarie notificando un avviso di informazione («avviso di informazione») (91); b) effettuare indagini e verifiche trasmettendo un avviso di valutazione, che può imporre al titolare del trattamento o al responsabile del trattamento di consentire all'Information Commissioner di accedere a locali specificati, ispezionare o esaminare documenti o apparecchiature, e interrogare persone che trattano dati personali per conto del titolare del trattamento, ecc. («avviso di valutazione») (92); c) ottenere altrimenti l'accesso a documenti, ecc. di titolari del trattamento e responsabili del trattamento così come accesso ai loro locali in conformità con la sezione 154 della legge del 2018 sulla protezione dei dati («poteri di accesso e ispezione»); d) esercitare poteri correttivi, anche mediante avvertimenti e ammonimenti, oppure emettere ordini per mezzo di un avviso di esecuzione, che impone ai titolari del trattamento/responsabili del trattamento di adottare o di astenersi dall'adottare misure specificate, in particolare di compiere qualsiasi azione specificata dall'articolo 58, paragrafo 2, lettere da c) a g) e lettera j) del GDPR del Regno Unito («avviso di esecuzione») (93); e) comminare sanzioni amministrative pecuniarie sotto forma di un avviso di irrogazione di sanzioni («avviso di irrogazione di sanzioni») (94). Quest'ultimo può essere emesso anche qualora un'autorità pubblica non abbia rispettato le disposizioni del GDPR del Regno Unito (95).

(93)

Il documento Regulatory Action Policy dell'ICO stabilisce le circostanze nelle quali l'Information Commissioner emetterà un avviso di informazione, valutazione, esecuzione e irrogazione di sanzioni (96). Un avviso di esecuzione notificato a seguito di un inadempimento da parte di un titolare del trattamento o di un responsabile del trattamento può esclusivamente imporre i requisiti che l'Information Commissioner ritiene opportuni al fine di porre rimedio a tale inadempimento. Gli avvisi di esecuzione e di irrogazione di sanzioni possono essere emessi nei confronti di un titolare del trattamento o di un responsabile del trattamento in relazione a violazioni del capo II del GDPR del Regno Unito (principi di trattamento), degli articoli da 12 a 22 (diritti dell'interessato), degli articoli da 25 a 39 (obblighi dei titolari del trattamento e dei responsabili del trattamento) e degli articoli da 44 a 49 (trasferimenti internazionali) del GDPR del Regno Unito. Un avviso di esecuzione può essere notificato anche nel caso in cui un titolare del trattamento non abbia rispettato l'obbligo di versare un contributo spese fissato in regolamenti emessi ai sensi della sezione 137 della legge del 2018 sulla protezione dei dati. Inoltre un organismo di controllo ai sensi dell'articolo 41 o un fornitore di certificazione può vedersi notificare un avviso di esecuzione nel caso in cui non rispetti gli obblighi cui è soggetto ai sensi del GDPR del Regno Unito. Un avviso di irrogazione di sanzioni può essere notificato anche a una persona che non ha rispettato un avviso di informazione, un avviso di valutazione o un avviso di esecuzione.

(94)

L'avviso di irrogazione di sanzioni impone a una persona di corrispondere all'Information Commissioner un importo specificato nell'avviso stesso. Nello stabilire se notificare un avviso di irrogazione di sanzioni a una persona e determinare l'ammontare della sanzione, l'Information Commissioner deve tener conto delle questioni elencate all'articolo 83, paragrafi 1 e 2, del GDPR del Regno Unito, che sono disposizioni identiche alle norme corrispondenti del regolamento (UE) 2016/679 (97). Conformemente all'articolo 83, paragrafi 4 e 5, gli importi massimi delle sanzioni amministrative pecuniarie in caso di mancato rispetto degli obblighi di cui a tali disposizioni sono rispettivamente 8 700 000 GBP o 17 500 000 GBP. Nel caso di un'impresa, l'Information Commissioner può altresì imporre sanzioni pecuniarie espresse in percentuale rispetto al fatturato mondiale annuo, laddove superiore. Come nelle disposizioni equivalenti del regolamento (UE) 2016/679, tali importi sono fissati al 2 % e al 4 % all'articolo 83, paragrafi 4 e 5, rispettivamente. In caso di mancato rispetto di un avviso di informazione, di un avviso di valutazione o un di avviso di esecuzione, l'importo massimo della sanzione che può essere comminata da un avviso di irrogazione di sanzioni è 17 500 000 GBP o, nel caso di un'impresa, il 4 % del fatturato mondiale annuo, se più elevato.

(95)

Il GDPR del Regno Unito unitamente alla legge del 2018 sulla protezione dei dati hanno anche rafforzato altri poteri dell'Information Commissioner. Ad esempio l'Information Commissioner può ora condurre audit obbligatori in relazione a tutti i titolari del trattamento e i responsabili del trattamento attraverso l'uso di avvisi di valutazione, mentre nel contesto della legislazione precedente, la legge del 1998 sulla protezione dei dati, l'Information Commissioner disponeva di tale potere soltanto nei confronti di organizzazioni del governo centrale e di organizzazioni della sanità, mentre gli altri soggetti dovevano acconsentire di sottoporsi a un audit.

(96)

Dall'introduzione del regolamento (UE) 2016/679, l'ICO gestisce circa 40 000 reclami l'anno promossi da interessati (98) e, in aggiunta, svolge circa 2 000 indagini d'ufficio (99). La maggior parte dei reclami è correlata ai diritti di accesso e alla comunicazione di dati. A seguito delle sue indagini, l'Information Commissioner sta adottando misure di esecuzione in un'ampia gamma di settori. Più specificamente, secondo l'ultima relazione annuale dell'Information Commissioner (2019-2020) (100), quest'ultimo ha emesso 54 avvisi di informazione, 8 avvisi di valutazione, 7 avvisi di esecuzione, 4 diffide, ha avviato 8 procedimenti giudiziari e ha irrogato 15 sanzioni pecuniarie durante il periodo di riferimento (101).

(97)

Queste misure comprendono diverse sanzioni pecuniarie significative imposte ai sensi del regolamento (UE) 2016/679 e della legge del 2018 sulla protezione dei dati. In particolare, nell'ottobre del 2020, l'Information Commissioner ha irrogato una sanzione pecuniaria di 20 milioni di GBP a una compagnia aerea britannica per una violazione dei dati che ha interessato più di 400 000 clienti. Alla fine di ottobre del 2020, una catena alberghiera internazionale si è vista imporre una sanzione pecuniaria di 18,4 milioni di GBP per non aver garantito la sicurezza dei dati personali di milioni di clienti; mentre nel novembre del 2020 una sanzione pecuniaria di 1,25 milioni di GBP è stata irrogata a un fornitore britannico di servizi che vende online biglietti per eventi per non aver protetto i dettagli di pagamento dei clienti (102).

(98)

Oltre ai poteri di esecuzione dell'Information Commissioner descritti al considerando 92, talune violazioni della legislazione in materia di protezione dei dati costituiscono reati e possono pertanto essere soggette a sanzioni penali (sezione 196 della legge del 2018 sulla protezione dei dati). Si tratta ad esempio dell'ottenimento e della comunicazione, in modo consapevole o incauto, di dati personali senza il consenso del titolare del trattamento, della trasmissione di dati personali a un'altra persona senza il consenso del titolare del trattamento (103), della reidentificazione di informazioni a partire da dati personali anonimizzati senza il consenso del titolare del trattamento responsabile dell'anonimizzazione dei dati personali (104), dell'ostruzione intenzionale dell'esercizio dei poteri dell'Information Commissioner in relazione all'ispezione di dati personali conformemente agli obblighi internazionali (105), del rilascio di dichiarazioni false in risposta a un avviso di informazione o della distruzione di informazioni relative ad avvisi di informazione e valutazione (106).

(99)

La vigilanza sul trattamento di dati personali da parte di organi giurisdizionali e della magistratura è duplice. Se un titolare di funzioni giurisdizionali o un organo giurisdizionale non agisce nell'esercizio delle proprie funzioni giurisdizionali, la vigilanza è esercitata dall'ICO. Quando il titolare del trattamento opera nell'esercizio delle proprie funzioni giurisdizionali, l'ICO non può esercitare le sue funzioni di vigilanza (107) e detta vigilanza è esercitata da organismi speciali. Ciò riflette l'approccio adottato dal regolamento (UE) 2016/679 (articolo 55, paragrafo 3).

(100)

In particolare, nel secondo caso, per gli organi giurisdizionali di Inghilterra e Galles e per gli organi giurisdizionali di primo grado e di grado superiore di Inghilterra e Galles, tale vigilanza è attuata dal Judicial Data Protection Panel (108) (comitato sulla protezione dei dati da parte del potere giudiziario). Inoltre il Lord Chief Justice (Lord Giudice capo) e il Senior President of Tribunals (Presidente senior degli organi giurisdizionali) hanno emesso un'informativa sulla protezione dei dati (109) che stabilisce le modalità con cui gli organi giurisdizionali di Inghilterra e Galles trattano personali per espletare una funzione giudiziaria. Un'informativa analoga è stata emessa dalla magistratura dell'Irlanda del Nord (110) e della Scozia (111).

(101)

Inoltre, in Irlanda del Nord, il Lord Giudice capo dell'Irlanda del Nord ha nominato un giudice dell'Alta Corte Data Supervisory Judge (DSJ, Giudice incaricato del controllo sui dati) (112), e ha rivolto alla magistratura dell'Irlanda del Nord orientamenti in merito alle azioni da intraprendere in caso di perdita o potenziale perdita di dati e al processo per affrontare qualsiasi problema derivante da tale circostanza (113).

(102)

In Scozia il Lord President (Lord Presidente) ha nominato un Giudice incaricato del controllo sui dati affinché indaghi su eventuali reclami per motivi di protezione dei dati. Ciò è sancito nelle norme sui reclami in materia giudiziaria che rispecchiano quelle stabilite per Inghilterra e Galles (114).

(103)

Infine, nell'ambito della Corte suprema uno dei giudici è incaricato di vigilare in merito alla protezione dei dati.

(104)

Al fine di assicurare una protezione adeguata e, in particolare, il rispetto dei diritti individuali, l'interessato dovrebbe avere a disposizione mezzi di ricorso effettivi in sede amministrativa e giudiziale, compreso il risarcimento dei danni.

(105)

Innanzitutto l'interessato ha il diritto di proporre reclamo presso l'Information Commissioner qualora ritenga che, in relazione ai dati personali che lo riguardano, sia stata commessa una violazione del GDPR del Regno Unito (115). Il GDPR del Regno Unito mantiene le norme di cui all'articolo 77 del regolamento (UE) 2016/679 in merito a tale diritto senza modifiche sostanziali. Lo stesso vale per l'articolo 57, paragrafo 1, lettera f) e per l'articolo 57, paragrafo 2, che stabiliscono i compiti dell'Information Commissioner in relazione alla gestione dei reclami. Come descritto nei considerando 92 e 98, l'Information Commissioner ha il potere di valutare il rispetto del GDPR del Regno Unito e della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento e del responsabile del trattamento, di richiede loro di adottare, o di astenersi dall'adottare, misure necessarie in caso di non conformità nonché di irrogare sanzioni pecuniarie.

(106)

In secondo luogo il GDPR del Regno Unito e la legge del 2018 sulla protezione dei dati riconoscono il diritto di ricorso nei confronti dell'Information Commissioner. Ai sensi dell'articolo 78, paragrafo 1, del GDPR del Regno Unito, una persona fisica ha diritto ad un ricorso giurisdizionale effettivo nei confronti di una decisione giuridicamente vincolante dell'Information Commissioner che la riguarda. Nel contesto del controllo giurisdizionale, l'organo giurisdizionale esamina la decisione impugnata nel ricorso e valuta se l'Information Commissioner ha agito in maniera lecita. Inoltre, a norma dell'articolo 78, paragrafo 2, del GDPR del Regno Unito, se l'Information Commissioner non gestisce in maniera adeguata un reclamo promosso da un interessato (116) il reclamante ha accesso al ricorso giurisdizionale e può adire un First-tier Tribunal chiedendogli di ordinare all'Information Commissioner di adottare misure adeguate per dare seguito al reclamo oppure di informare il reclamante in merito ai progressi compiuti in relazione al reclamo (117). Inoltre qualsiasi persona che riceva la notifica di uno degli avvisi di cui sopra (di informazione, di valutazione, di esecuzione o di irrogazione di sanzioni) dall'Information Commissioner può impugnarlo adendo un First-tier Tribunal (118). Laddove quest'ultimo ritenga che la decisione dell'Information Commissioner non sia conforme alla legge o che questi avrebbe dovuto esercitare il proprio potere discrezionale in modo diverso, detto organo deve accogliere il ricorso oppure sostituire l'avviso o la decisione con un altro avviso o un'altra decisione che l'Information Commissioner avrebbe potuto emettere o rendere.

(107)

In terzo luogo le persone fisiche possono proporre un ricorso giurisdizionale nei confronti di titolari del trattamento e responsabili del trattamento direttamente adendo gli organi giurisdizionali conformemente all'articolo 79 del GDPR del Regno Unito e alla sezione 167 della legge del 2018 sulla protezione dei dati. Se, su domanda di un interessato, un organo giurisdizionale è convinto che sia stata commessa una violazione dei diritti dell'interessato sanciti dalla legislazione in materia di protezione dei dati, esso può ordinare al titolare del trattamento, in relazione al trattamento, o a un responsabile del trattamento che agisce per conto di tale titolare del trattamento, di adottare le misure specificate nell'ordinanza oppure di astenersi dall'adottare le misure specificate nell'ordinanza.

(108)

Inoltre, a norma dell'articolo 82 del GDPR del Regno Unito e della sezione 168 della legge del 2018 sulla protezione dei dati, chiunque subisca un danno materiale o immateriale a causa di una violazione del GDPR del Regno Unito ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Le norme relative al risarcimento e alla responsabilità di cui all'articolo 82, paragrafi da 1 a 5, del GDPR del Regno Unito sono identiche alle norme corrispondenti del regolamento (UE) 2016/679. Conformemente alla sezione 168 della legge del 2018 sulla protezione dei dati, i danni immateriali comprendono anche la sofferenza. Ai sensi dell'articolo 80 del GDPR del Regno Unito, l'interessato ha altresì il diritto di incaricare un organismo rappresentativo o un'organizzazione rappresentativa affinché promuova reclamo presso l'Information Commissioner per suo conto (ai sensi dell'articolo 77 del GDPR del Regno Unito) ed eserciti per suo conto i diritti di cui all'articolo 78 (diritto a un ricorso giurisdizionale effettivo nei confronti dell'Information Commissioner), all'articolo 79 (diritto a un ricorso giurisdizionale effettivo nei confronti di un titolare del trattamento o di un responsabile del trattamento) e all'articolo 82 (diritto al risarcimento e responsabilità) del GDPR del Regno Unito.

(109)

In quarto luogo, e in aggiunta ai mezzi di ricorso sopra citati, nella misura in cui una persona ritenga che i suoi diritti, anche in materia di tutela della vita privata e protezione dei dati, siano stati violati da autorità pubbliche, può ottenere rimedio adendo gli organi giurisdizionali del Regno Unito conformemente alla legge del 1998 sui diritti umani (119). Una persona fisica che sostenga che un'autorità pubblica ha agito (o propone di agire) in maniera incompatibile con un diritto sancito da una convenzione e pertanto in maniera illecita ai sensi della sezione 6, paragrafo 1, della legge del 1998 sui diritti umani può avviare un procedimento contro l'autorità in questione dinanzi l'organo giurisdizionale adeguato oppure fare affidamento sui diritti interessati nel contesto di qualsiasi procedimento legale, quando tale persona è (o diventi) vittima dell'atto illecito.

(110)

Laddove l'organo giurisdizionale constati che un atto di un'autorità pubblica è illecito, può concedere tale misura o provvedimento oppure emettere una tale ordinanza, entro i suoi poteri, nella misura che ritiene giusta ed adeguata (120). L'organo giurisdizionale può altresì dichiarare che una disposizione del diritto primario è incompatibile con un diritto garantito dalla convenzione.

(111)

Infine, dopo aver esperito i mezzi di ricorso nazionali, una persona fisica può ottenere rimedio adendo la Corte europea dei diritti dell'uomo per violazioni dei diritti garantiti ai sensi della convenzione europea dei diritti dell'uomo.

(112)

La Commissione ha inoltre valutato il quadro giuridico del Regno Unito per la raccolta e l'uso successivo dei dati personali trasferiti ad operatori economici nel Regno Unito da parte delle autorità pubbliche del Regno Unito nell'interesse pubblico, in particolare per attività di contrasto penale e per finalità di sicurezza nazionale (in appresso denominato «accesso da parte di pubbliche amministrazioni»). Nel valutare se le condizioni in base alle quali l'accesso da parte delle pubbliche amministrazioni ai dati trasferiti verso il Regno Unito ai sensi della presente decisione soddisfino la verifica dell'«equivalenza sostanziale» ai sensi dell'articolo 45, paragrafo 1, del regolamento (UE) 2016/679, come interpretato dalla Corte di giustizia dell'Unione europea alla luce della Carta dei diritti fondamentali, la Commissione ha tenuto conto in particolare dei criteri illustrati in appresso.

(113)

Innanzitutto qualsiasi limitazione dell'esercizio del diritto alla protezione dei dati personali deve essere prevista dalla legge e implica che la base giuridica che consente l'ingerenza in tali diritti deve definire essa stessa la portata della limitazione dell'esercizio del diritto considerato (121).

(114)

In secondo luogo, per soddisfare il requisito di proporzionalità secondo cui le deroghe e le limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario in una società democratica per soddisfare gli obbiettivi specifici di interesse generale equivalenti a quelli riconosciuti dall'Unione, la legislazione del paese terzo in questione che consente tale ingerenza deve prevedere regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e impongano requisiti minimi in modo che le persone i cui dati sono trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi (122). In particolare, essa deve indicare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di siffatti dati (123) nonché assoggettare il soddisfacimento di tali requisiti alla vigilanza indipendente (124).

(115)

In terzo luogo tale legislazione deve essere giuridicamente vincolante ai sensi del diritto interno e tali requisiti giuridici devono non solo essere vincolanti per le autorità, ma anche azionabili dinanzi gli organi giurisdizionali nei confronti di autorità del paese terzo di cui trattasi (125). In particolare gli interessati devono disporre della possibilità di esperire mezzi di ricorso dinanzi a un giudice indipendente e imparziale al fine di avere accesso a dati personali che li riguardano, o di ottenere la rettifica o la soppressione di tali dati (126).

(116)

Trattandosi di un esercizio di poteri da parte di un'autorità pubblica, l'accesso da parte delle pubbliche amministrazioni nel Regno Unito deve avvenire nel pieno rispetto della legge. Il Regno Unito ha ratificato la convenzione europea dei diritti dell'uomo (cfr. considerando 9) e tutte le autorità pubbliche del Regno Unito sono tenute ad agire in conformità con tale convenzione (127). L'articolo 8 della convenzione prevede che qualsiasi ingerenza in relazione alla tutela della vita privata debba avvenire in conformità con la legge, nell'interesse di uno degli obiettivi di cui all'articolo 8, paragrafo 2, e in maniera proporzionata alla luce di tale obiettivo. L'articolo 8 richiede inoltre che tale ingerenza sia «prevedibile», ossia che la sua base giuridica sia chiara e precisa, e che la legislazione specifichi le garanzie adeguate per prevenire gli abusi.

(117)

Inoltre, nella sua giurisprudenza, la Corte europea dei diritti dell'uomo ha specificato che qualsiasi ingerenza nel diritto alla tutela della vita privata e alla protezione dei dati dovrebbe essere soggetta ad un sistema di vigilanza efficace, indipendente e imparziale da parte di un giudice o un altro organo indipendente (128) (ad esempio un'autorità amministrativa o un organo parlamentare).

(118)

Inoltre alle persone fisiche deve essere riconosciuto un ricorso effettivo, e la Corte europea dei diritti dell'uomo ha chiarito che tale ricorso deve essere offerto da un organismo indipendente e imparziale che abbia adottato il proprio regolamento interno e sia costituito da membri che svolgono o abbiano svolto funzioni giurisdizionali di alto livello o siano avvocati esperti, e che non deve sussistere alcun onere probatorio per poter adire tale organismo. Nell'intraprendere l'esame dei reclami presentati da persone fisiche, detto organismo indipendente e imparziale dovrebbe avere accesso a tutte le informazioni pertinenti, comprese quelle riservate. Infine dovrebbe disporre di poteri per porre rimedio ai casi di non conformità (129).

(119)

Il Regno Unito ha inoltre ratificato la convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (convenzione 108) e, nel 2018, ha firmato il protocollo che modifica tale convenzione (noto come convenzione 108+) (130). L'articolo 9 della convenzione 108 prevede che le deroghe ai principi generali in materia di protezione dei dati (articolo 5 Qualità dei dati), alle norme che disciplinano le categorie particolari di dati (articolo 6 Categorie particolari di dati) e ai diritti degli interessati (articolo 8 Garanzie supplementari per l'interessato) siano ammissibili soltanto laddove previste dalla legge della Parte e costituiscano una misura necessaria, in una società democratica, nell'interesse della protezione della sicurezza dello Stato, della sicurezza pubblica, degli interessi monetari dello Stato o della repressione di reati o per proteggere l'interessato o i diritti e le libertà altrui (131).

(120)

Di conseguenza, attraverso l'adesione al Consiglio d'Europa, l'adesione alla convenzione europea dei diritti dell'uomo e l'assoggettamento alla competenza giurisdizionale della Corte europea dei diritti dell'uomo, il Regno Unito è soggetto a una serie di obblighi, sanciti dal diritto internazionale, che inquadrano il suo sistema di accesso da parte delle pubbliche amministrazioni sulla base di principi, garanzie e diritti individuali simili a quelli garantiti dal diritto dell'Unione e applicabili agli Stati membri. Come sottolineato al considerando 19, la continua adesione a tali strumenti costituisce pertanto un aspetto particolarmente importante della valutazione sulla quale si basa la presente decisione.

(121)

Inoltre la legge del 2018 sulla protezione dei dati prevede ulteriori garanzie e diritti specifici in materia di protezione dei dati nell'ambito del trattamento dei dati da parte delle autorità pubbliche, comprese le autorità di contrasto e gli organismi preposti alla sicurezza nazionale.

(122)

In particolare il regime per il trattamento dei dati personali nel contesto delle attività di contrasto penale è stabilito nella parte 3 della legge del 2018 sulla protezione dei dati, emanata per recepire la direttiva (UE) 2016/680. La parte 3 della legge del 2018 sulla protezione dei dati si applica al trattamento di dati personali da parte di autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, compresa la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica (132).

(123)

Ai sensi della sezione 30 della legge sulla protezione dei dati, per «autorità competente» si intende una persona elencata nell'allegato 7 della legge del 2018 sulla protezione dei dati e qualsiasi altra persona nella misura in cui svolga funzioni fissate dalla legge per una delle finalità di contrasto (133). Come spiegato di seguito (cfr. considerando 139), alcune autorità competenti (ad esempio la National Crime Agency) possono avvalersi, a determinate condizioni, dei poteri conferiti dalla legge del 2016 sui poteri di indagine (Investigatory Power Act). In tal caso, le garanzie previste dalla legge del 2016 sui poteri di indagine si applicheranno in aggiunta a quelle previste dalla parte 3 della legge del 2018 sulla protezione dei dati. I servizi di intelligence (Secret Intelligence Service, Security Service e Government Communications Headquarters) non sono «autorità competenti» (134) ai sensi della parte 3 della legge del 2018 sulla protezione dei dati, pertanto le norme ivi previste non si applicano ad alcuna delle loro attività. Una parte specifica della legge del 2018 sulla protezione dei dati (parte 4) è dedicata al trattamento dei dati personali ad opera dei servizi di intelligence (per maggiori dettagli si veda il considerando 125).

(124)

Analogamente alla direttiva (UE) 2016/680, la parte 3 della legge del 2018 sulla protezione dei dati stabilisce i principi di liceità e correttezza (135), limitazione delle finalità (136), minimizzazione dei dati (137), esattezza (138), limitazione della conservazione (139) e sicurezza (140). La legislazione impone obblighi specifici di trasparenza (141) e riconosce alle persone fisiche il diritto di accesso (142), di rettifica e di cancellazione (143) così come il diritto di non essere soggette a un processo decisionale automatizzato (144). Le autorità competenti sono altresì tenute ad attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita, a tenere registri dei trattamenti e, per determinati trattamenti, a effettuare valutazioni d'impatto sulla protezione dei dati e a consultare preventivamente l'Information Commissioner (145). Ai sensi della sezione 56 della legge del 2018 sulla protezione dei dati, tali autorità sono tenute a dimostrare la propria conformità. Inoltre sono tenute a mettere in atto misure adeguate per garantire la sicurezza del trattamento (146) e sono soggette ad obblighi specifici in caso di violazione dei dati, compresa la notifica di tali violazioni all'Information Commissioner e agli interessati (147). Come nel caso della direttiva (UE) 2016/680, il titolare del trattamento è soggetto altresì all'obbligo (fatto salvo il caso in cui si tratti di un organo giurisdizionale o di un'altra autorità giudiziaria che agisce nell'esercizio delle proprie funzioni giurisdizionali) di designare un responsabile della protezione dei dati (RPD) (148) che gli fornisca assistenza nel rispettare i propri obblighi così come nel monitorare tale rispetto delle norme (149). La legislazione impone altresì requisiti specifici per i trasferimenti internazionali di dati personali per finalità di contrasto verso paesi terzi od organizzazioni internazionali al fine di assicurare la continuità della protezione (150). Alla stessa data della presente decisione, la Commissione ha adottato una decisione di adeguatezza a norma dell'articolo 36, paragrafo 3, della direttiva (UE) 2016/680, constatando che il regime di protezione dei dati applicabile al trattamento da parte delle autorità di contrasto penale del Regno Unito assicura un livello di protezione sostanzialmente equivalente a quello garantito dalla direttiva (UE) 2016/680.

(125)

La parte 4 della legge del 2018 sulla protezione dei dati si applica a tutti i trattamenti effettuati da o per conto dei servizi di intelligence. In particolare stabilisce i principali principi in materia di protezione dei dati (liceità, equità e trasparenza (151); limitazione della finalità (152); minimizzazione dei dati (153); esattezza (154); limitazione (155) e sicurezza (156) della conservazione), impone le condizioni relative al trattamento di categorie particolari di dati (157), fissa i diritti degli interessati (158), richiede la protezione dei dati fin dalla progettazione (159) e disciplina i trasferimenti internazionali di dati personali (160). L'ICO ha recentemente pubblicato orientamenti dettagliati sul trattamento da parte delle agenzie di intelligence a norma della parte 4 della legge del 2018 sulla protezione dei dati (161).

(126)

Allo stesso tempo, la sezione 110 della legge del 2018 sulla protezione dei dati prevede un'esenzione da disposizioni specifiche nella parte 4 della legge del 2018 sulla protezione dei dati (162) quando tale esenzione è necessaria per salvaguardare la sicurezza nazionale. Tale esenzione può essere invocata sulla base di un'analisi caso per caso (163). Come spiegato dalle autorità del Regno Unito e confermato dalla giurisprudenza, «(il) titolare del trattamento deve considerare le conseguenze effettive per la sicurezza nazionale o la difesa qualora fosse tenuto a rispettare la disposizione specifica in materia di protezione dei dati e potesse ragionevolmente rispettare la norma abituale senza ripercussioni per la sicurezza nazionale o la difesa» (164). Il ricorso adeguato o meno a tale esenzione è soggetto a vigilanza da parte dell'ICO (165).

(127)

Inoltre, in relazione alla possibilità di limitare per motivi di protezione della «sicurezza nazionale» l'applicazione delle disposizioni sopra specificate, conformemente alla sezione 111 della legge del 2018 sulla protezione dei dati, il titolare del trattamento può richiedere un certificato firmato da un ministro o dal procuratore o dall'avvocato generale che certifichi che una limitazione di tali diritti è una misura necessaria e proporzionata per la protezione della sicurezza nazionale (166).

(128)

Il governo del Regno Unito ha pubblicato orientamenti per fornire assistenza ai titolari del trattamento nel momento in cui valutano l'eventualità di presentare domanda per ottenere un certificato di sicurezza nazionale ai sensi della legge del 2018 sulla protezione dei dati, che sottolineano in particolare che qualsiasi limitazione ai diritti degli interessati a favore della protezione della sicurezza nazionale deve essere proporzionata e necessaria (167). Tutti i certificati di sicurezza nazionale devono essere pubblicati sul sito web dell'ICO (168).

(129)

Il certificato dovrebbe avere una durata fissa non superiore a cinque anni, in maniera da essere riesaminato regolarmente dal potere esecutivo (169). Il certificato deve individuare i dati personali o le categorie di dati personali soggetti ad esenzione nonché le disposizioni della legge del 2018 sulla protezione dei dati a cui si applica l'esenzione (170).

(130)

È importante notare che i certificati di sicurezza nazionale non prevedono un ulteriore motivo per limitare i diritti alla protezione dei dati per motivi di sicurezza nazionale. In altre parole, il titolare del trattamento o il responsabile del trattamento può basarsi su un certificato soltanto quando ha concluso che è necessario basarsi sull'esenzione per motivi di sicurezza nazionale, che, come spiegato in precedenza, deve essere applicata caso per caso (171). Anche se un certificato di sicurezza nazionale si applica alla questione in esame, l'ICO può indagare per stabilire se l'affidamento sull'esenzione prevista per motivi di sicurezza nazionale fosse giustificato in un caso specifico (172).

(131)

Qualsiasi persona direttamente interessata dal rilascio del certificato può presentare ricorso all'Upper Tribunal (173) (tribunale superiore) contro il certificato (174) oppure, laddove il certificato individui i dati mediante una descrizione generale, impugnare l'applicazione del certificato a dati specifici (175). Detto organo giurisdizionale riesamina la decisione di emettere un certificato e decide se vi erano motivi ragionevoli per il suo rilascio (176). Può prendere in considerazione una vasta gamma di questioni, tra le quali la necessità, la proporzionalità e la liceità, tenendo conto dell'impatto sui diritti degli interessati e dell'equilibrio rispetto alla necessità di salvaguardare la sicurezza nazionale. Di conseguenza tale organo giurisdizionale può stabilire che il certificato non si applica a dati personali specifici oggetto del ricorso (177).

(132)

Un insieme diverso di possibili limitazioni riguarda quelle applicabili, ai sensi dell'articolo 11 della legge del 2018 sulla protezione dei dati, a talune disposizioni della parte 4 della legge del 2018 sulla protezione dei dati (178) per salvaguardare altri importanti obiettivi di interesse pubblico generale o interessi tutelati quali ad esempio l'immunità parlamentare, il segreto professionale, lo svolgimento di procedimenti giudiziari o l'efficacia di combattimento delle forze armate (179). L'applicazione di tali disposizioni è esentata per determinate categorie di informazioni (esenzione «basata sulla classificazione») oppure esentata nella misura in cui l'applicazione di tali disposizioni potrebbe compromettere l'interesse tutelato (esenzione «basata sul pregiudizio») (180). Le esenzioni basate sul pregiudizio possono essere invocate soltanto nella misura in cui l'applicazione della disposizione di protezione dei dati elencati possa pregiudicare lo specifico interesse in questione. L'uso di un'esenzione deve quindi essere sempre giustificato facendo riferimento al pregiudizio pertinente che potrebbe verificarsi nel singolo caso. L'esenzione basata sulla classificazione può essere invocata soltanto rispetto alla categoria di informazioni specifiche, strettamente definita, per la quale è concessa. Si tratta di esenzioni analoghe, in termini di finalità ed effetto, a numerose delle eccezioni di cui al GDPR del Regno Unito (conformemente all'allegato 2 della legge del 2018 sulla protezione dei dati) che, a loro volta, riflettono quelle previste dall'articolo 23 del regolamento generale sulla protezione dei dati dell'Unione europea.

(133)

Da quanto precede consegue che tali limitazioni e tali condizioni si attuano nel quadro di disposizioni giuridiche del Regno Unito applicabili, come interpretato anche dagli organi giurisdizionali e dall'ICO, al fine di assicurare che tali esenzioni e limitazioni rimangano all'interno dei limiti di ciò che è necessario e proporzionato per proteggere la sicurezza nazionale.

(134)

Il diritto del Regno Unito impone una serie di limitazioni in materia di accesso e uso di dati personali per finalità di contrasto penale e prevede meccanismi di vigilanza e ricorso in questo settore che sono in linea con i requisiti di cui ai considerando da 113 a 115 della presente decisione. Le condizioni in cui tale accesso può avvenire e le garanzie applicabili all'uso di tali poteri sono valutate in dettaglio nelle sezioni che seguono.

(135)

Conformemente al principio di liceità, garantito dalla sezione 35, della legge del 2018 sulla protezione dei dati, il trattamento di dati personali per una delle finalità di contrasto è lecito soltanto se si basa sulla legge e l'interessato ha prestato il proprio consenso al trattamento per tale finalità (181) oppure se il trattamento è necessario per lo svolgimento di uno dei compiti effettuati per tale finalità da un'autorità competente.

(136)

Nel quadro giuridico del Regno Unito, la raccolta di dati personali da operatori economici, compresi quelli che tratterebbero dati trasferiti dall'UE ai sensi della presente decisione di adeguatezza, per finalità di contrasto penale è consentita sulla base di mandati di perquisizione (182) e ordinanze per la consegna di prove (183).

(137)

I mandati di perquisizione sono emessi da un organo giurisdizionale, di norma su domanda presentata dal funzionario incaricato dell'indagine. Tali mandati consentono a un operatore di polizia di accedere a locali per cercare materiale o persone fisiche pertinenti per la sua indagine e di trattenere qualsiasi cosa per la quale sia stato autorizzato un mandato, compresi documenti o materiali pertinenti contenenti dati personali (184). Un'ordinanza per la consegna di prove, che deve anch'essa essere emessa da un organo giurisdizionale, impone alla persona in essa specificata di presentare o di fornire accesso a materiale in suo possesso o soggetto al suo controllo. Il richiedente deve specificare all'organo giurisdizionale il motivo della necessità di tale mandato od ordinanza, oltre a indicare il motivo per cui ciò è nell'interesse pubblico. Vi sono diversi poteri statutari che consentono l'emissione di mandati di perquisizione e di ordinanze per la consegna di prove. Ciascuna disposizione è accompagnata da una serie di condizioni statutarie che devono essere soddisfatte affinché sia possibile emettere un mandato (185) o un'ordinanza per la consegna di prove (186).

(138)

Le ordinanze per la consegna di prove e i mandati di perquisizione possono essere contestati mediante controllo giurisdizionale (187). In termini di garanzie, tutte le autorità di contrasto penale rientranti nell'ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati possono accedere ai dati personali (accesso che costituisce una forma di trattamento) soltanto in linea con i principi e i requisiti di cui alla legge del 2018 sulla protezione dei dati (cfr. considerando 122 e 124). Di conseguenza una richiesta formulata da una qualsiasi autorità di contrasto dovrebbe essere conforme al principio secondo cui le finalità del trattamento devono essere specificate, esplicite e legittime (188) e i dati personali trattati da un'autorità competente devono essere pertinenti per tale finalità e non eccessivi (189).

(139)

Al fine di prevenire o accertare solo reati gravi (190), alcune autorità di contrasto, ad esempio la National Crime Agency o il capo della polizia (191), possono avvalersi di poteri di indagine mirati ai sensi della legge del 2016 sui poteri di indagine. In tal caso, le garanzie previste dalla legge del 2016 sui poteri di indagine si applicheranno in aggiunta a quelle previste dalla parte 3 della legge del 2018 sulla protezione dei dati. Gli specifici poteri di indagine di cui tali autorità di contrasto possono fare uso sono: l'intercettazione mirata (parte 2 della legge del 2016 sui poteri di indagine), l'acquisizione dei dati relativi alle comunicazioni (parte 3 della medesima legge), la conservazione di dati relativi alle comunicazioni (parte 4 della medesima legge) e l'ingerenza mirata in apparecchiature (parte 5 della medesima legge). L'intercettazione si riferisce all'acquisizione del contenuto di una comunicazione (192), mentre l'acquisizione e la conservazione di dati relativi alle comunicazioni non mirano al contenuto delle comunicazioni ma a informazioni sulla comunicazione, quali «chi», «quando», «dove» e «come». Rientra in tale contesto ad esempio l'ora e la durata di una comunicazione, il numero di telefono o l'indirizzo di posta elettronica del mittente e del destinatario della comunicazione, e talvolta l'ubicazione dei dispositivi dai quali viene effettuata la comunicazione, l'abbonato a un servizio telefonico oppure una fattura dettagliata (193). Con ingerenza in apparecchiature si intende un insieme di tecniche utilizzate per ottenere una varietà di dati dalle apparecchiature, tra le quali figurano computer, tablet e smartphone, nonché cavi, fili e dispositivi di conservazione (194).

(140)

Si possono esercitare i poteri di intercettazione mirata anche laddove ciò sia «necessario al fine di dare effetto alle disposizioni di uno strumento di assistenza reciproca dell'UE o un accordo internazionale di assistenza reciproca» (il cosiddetto «mutual assistance warrant» (195), mandato di assistenza reciproca). I mandati di assistenza reciproca vengono emessi soltanto in relazione all'intercettazione, non per l'acquisizione di dati relativi alle comunicazioni o l'ingerenza in apparecchiature. Tali poteri mirati sono disciplinati dalla Investigatory Powers Act 2016 (196) (legge del 2016 sui poteri di indagine), che, unitamente al Regulation of Investigatory Powers Act 2000 (RIPA) (legge del 2000 sul regolamento sui poteri di indagine) per Inghilterra, Galles e Irlanda del Nord e al Regulation of Investigatory Powers (Scotland) Act 2000 (RIPSA) (legge del 2000 sul regolamento sui poteri di indagine — Scozia) per la Scozia, prevede la base giuridica e definisce le limitazioni e le garanzie applicabili all'esercizio di tali poteri. La legge del 2016 sui poteri di indagine stabilisce altresì un regime per l'uso di poteri di indagine massivi, sebbene questi non siano disponibili per le autorità di contrasto (soltanto le agenzie di intelligence possono utilizzarli) (197).

(141)

Al fine di esercitare tali poteri, le autorità devono ottenere un mandato (198) rilasciato da un'autorità competente (199) e approvato da un commissario giudiziario indipendente (200) (cosiddetta procedura «a doppia verifica»). L'ottenimento di tale mandato è soggetto a una verifica della necessità e della proporzionalità (201). Dato che tali poteri di indagine mirati previsti dalla legge del 2016 sui poteri di indagine sono gli stessi di quelli disponibili per le agenzie di sicurezza nazionale, le condizioni, le limitazioni e le garanzie applicabili a tali poteri sono affrontati in dettaglio nella sezione sull'accesso e sull'uso di dati personali da parte delle autorità pubbliche del Regno Unito per finalità di sicurezza nazionale (cfr. considerando 177 e seguenti).

(142)

La condivisione di dati da parte di un'autorità di contrasto con altre autorità per finalità diverse da quelle per le quali sono stati inizialmente raccolti (cosiddetta «condivisione successiva») è soggetta al rispetto di determinate condizioni.

(143)

Analogamente a quanto previsto dalla sezione 4, paragrafo 2, della direttiva (UE) 2016/680, la sezione 36, paragrafo 3, della legge del 2018 sulla protezione dei dati consente ai dati personali raccolti da un'autorità competente per una finalità di contrasto di poter essere ulteriormente trattati (dal titolare del trattamento originale o da un altro titolare del trattamento) per qualsiasi altra finalità di contrasto, a condizione che il titolare del trattamento sia autorizzato dalla legge a trattare i dati per un'altra finalità e il trattamento sia necessario e proporzionato a tale fine (202). In tal caso tutte le garanzie fornite dalla parte 3 della legge del 2018 sulla protezione dei dati, di cui ai considerando 122 e 124 si applicano al trattamento effettuato all'autorità ricevente.

(144)

Nell'ordinamento giuridico del Regno Unito, leggi diverse consentono esplicitamente la condivisione successiva. In particolare i) la Digital Economy Act 2017 (legge del 2017 sull'economia digitale) consente la condivisione tra autorità pubbliche per finalità diverse, ad esempio in caso di frode contro il settore pubblico che comporterebbe una perdita o un rischio di perdita per autorità pubbliche (203) o in caso di un debito nei confronti di un'autorità pubblica o della Corona (204); ii) la Crime and Courts Act 2013 (legge del 2013 sui reati e sugli organi giurisdizionali) consente la condivisione di informazioni con la National Crime Agency (205) (NCA) per contrastare, indagare e perseguire la criminalità organizzata e forme gravi di criminalità; iii) la Serious Crime Act 2007 (legge del 2007 sui reati gravi) che consente alle autorità pubbliche di divulgare informazioni alle organizzazioni antifrode ai fini della prevenzione delle frodi (206).

(145)

Tali leggi prevedono esplicitamente che la condivisione di informazioni debba essere conforme ai principi stabiliti nella legge del 2018 sulla protezione dei dati. Inoltre il College of Policing ha emesso una pratica professionale autorizzata sulla condivisione di informazioni (207) per fornire assistenza alle forze di polizia nel rispettare i loro obblighi di protezione dei dati nel quadro del GDPR del Regno Unito, della legge sulla protezione dei dati e della legge del 1998 sui diritti umani. La conformità della condivisione con il quadro giuridico della protezione dei dati applicabile è, naturalmente, soggetta a controllo giurisdizionale (208).

(146)

Inoltre, analogamente a quanto previsto all'articolo 9 della direttiva (UE) 2016/680, la legge del 2018 sulla protezione dei dati prevede che i dati personali raccolti per qualsiasi finalità di contrasto possano essere trattati per una finalità diversa da quelle di contrasto quando tale trattamento è autorizzato dalla legge (209).

(147)

Questo tipo di condivisione riguarda due scenari: 1) quello in cui un'autorità di contrasto penale condivide dati con un'autorità di contrasto che non si occupa di materia penale diversa da un'agenzia di intelligence (come ad esempio un'autorità finanziaria o fiscale, un'autorità per la concorrenza, un ufficio per l'assistenza ai giovani, ecc.); e 2) quello in cui un'autorità di contrasto penale condivide dati con un'agenzia di intelligence. Nel primo scenario, il trattamento dei dati personali rientrerà nell'ambito di applicazione del GDPR del Regno Unito nonché in quello della parte 2 della legge del 2018 sulla protezione dei dati. La Commissione ha valutato le garanzie fornite dal GDPR del Regno Unito e dalla parte 2 della legge del 2018 sulla protezione dei dati nei considerando da 12 a 111 ed è giunta alla conclusione che il Regno Unito assicura un livello di protezione adeguato dei dati personali trasferiti ai sensi del regolamento (UE) 2016/679 dall'Unione europea verso il Regno Unito.

(148)

Nel secondo scenario, per quanto concerne la condivisione di dati raccolti da un'autorità di contrasto penale con un'agenzia di intelligence per finalità di sicurezza nazionale, la base giuridica che autorizza tale condivisione è la sezione 19 della Counter Terrorism Act 2008 (legge antiterrorismo del 2008) (210). Conformemente a quest'ultima legge, qualsiasi persona può fornire informazioni a uno qualsiasi dei servizi di intelligence ai fini dell'adempimento di una qualsiasi delle funzioni di tale servizio, compresa la «sicurezza nazionale».

(149)

Per quanto concerne le condizioni alle quali i dati possono essere condivisi per finalità di sicurezza nazionale, l'Intelligence Services Act (211) (legge sui servizi di intelligence) e la Security Service Act (212) (legge sui servizi di sicurezza) limitano la capacità dei servizi di intelligence di ottenere dati a ciò che è necessario per adempiere le loro funzioni statutarie. Le agenzie di contrasto che intendono condividere dati con i servizi di intelligence dovranno considerare una serie di fattori/limitazioni, oltre alle funzioni statutarie delle agenzie stabilite nella legge sui servizi di intelligence e nella legge sui servizi di sicurezza (213). La sezione 20 della legge antiterrorismo del 2008 chiarisce che qualsiasi condivisione dei dati ai sensi della sezione 19 di tale legge deve comunque rispettare la legislazione in materia di protezione dei dati; il che significa che si applicano tutte le limitazioni e tutti i requisiti di cui alla parte 3 della legge del 2018 sulla protezione dei dati. Inoltre, essendo autorità pubbliche ai fini della legge del 1998 sui diritti umani, le autorità competenti devono assicurare di agire in conformità con i diritti sanciti dalla convenzione, compreso l'articolo 8 della CEDU. Tali limitazioni assicurano che tutta la condivisione di dati tra le agenzie di contrasto e i servizi di intelligence sia conforme alla legislazione in materia di protezione dei dati e alla CEDU.

(150)

Quando un'autorità competente intende condividere dati personali trattati ai sensi della parte 3 della legge del 2018 sulla protezione dei dati con autorità di contrasto di un paese terzo, si applicano requisiti specifici (214). In particolare tali trasferimenti possono avvenire quando si basano su regolamenti di adeguatezza emessi dal segretario di Stato oppure, in assenza di tali regolamenti, devono essere assicurate garanzie adeguate. Secondo l'articolo 75 della legge del 2018 sulla protezione dei dati sussistono garanzie adeguate quando le garanzie sono stabilite da uno strumento giuridico che vincola il destinatario previsto, oppure se il titolare del trattamento, avendo valutato tutte le circostanze relative ai trasferimenti di tale tipo di dati personali verso il paese terzo o l'organizzazione internazionale, conclude che esistono garanzie adeguate per la protezione dei dati.

(151)

Se non si basa su un regolamento di adeguatezza o su garanzie adeguate, il trasferimento può avvenire soltanto in determinate circostanze specifiche, indicate come «circostanze speciali» (215). Ciò si verifica quando il trasferimento è necessario: a) per tutelare un interesse vitale dell'interessato o di un'altra persona; b) per salvaguardare i legittimi interessi dell'interessato; c) per prevenire una minaccia grave e immediata alla sicurezza pubblica di uno Stato membro o di un paese terzo; d) in singoli casi per qualsiasi finalità di contrasto; o e) in singoli casi per una finalità di legge (come in relazione a procedimenti giudiziari o per ottenere consulenza legale). Si può notare che le lettere d) ed e) non si applicano se i diritti e le libertà dell'interessato prevalgono sull'interesse pubblico al trasferimento. Tale serie di circostanze corrisponde alle situazioni e alle condizioni specifiche che si qualificano come «deroghe» ai sensi dell'articolo 38 della direttiva (UE) 2016/680.

(152)

Inoltre, quando il materiale acquisito dalle autorità di contrasto in base a un mandato che autorizza l'utilizzo dell'intercettazione o dell'ingerenza in apparecchiature viene consegnato a un paese terzo, la legge del 2016 sui poteri di indagine impone garanzie ulteriori. In particolare, tale comunicazione, definita come «comunicazione all'estero», è consentita soltanto se l'autorità emittente ritiene che sussista un regime adeguato specifico che limita il numero di persone a cui vengono comunicati i dati, la misura in cui qualsiasi materiale viene divulgato o reso disponibile così come la misura in cui una parte qualsiasi di tale materiale viene copiata e il numero di copie effettuate. Inoltre l'autorità emittente può considerare che sia necessario un regime adeguato per assicurare che ogni copia fatta di qualsiasi parte di tale materiale sia distrutta non appena non sussistono più motivi pertinenti per conservarla (laddove non distrutta prima) (216).

(153)

Infine, forme specifiche di trasferimenti successivi dal Regno Unito verso gli Stati Uniti potrebbero in futuro avvenire sulla base dell'Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime («l'accordo UK-US» o «l'accordo») (217), concluso nell'ottobre del 2019 (218). Sebbene l'accordo UK-US non sia ancora entrato in vigore al momento dell'adozione della presente decisione, la sua prevedibile entrata in vigore può incidere sui trasferimenti successivi verso gli Stati Uniti di dati trasferiti per la prima volta verso il Regno Unito sulla base della presente decisione. Più specificamente i dati trasferiti dall'UE verso fornitori di servizi nel Regno Unito potrebbero essere soggetti a ordinanze per la consegna di prove elettroniche emesse da autorità di contrasto statunitensi e rese applicabili nel Regno Unito ai sensi di detto accordo. Per questi motivi la valutazione delle condizioni e delle garanzie nel rispetto delle quali è possibile emettere tali ordinanze e dare loro esecuzione è pertinente ai fini della presente decisione.

(154)

A tale riguardo occorre osservare che, in primo luogo, per quanto concerne il suo ambito di applicazione materiale, l'accordo è applicabile soltanto ai reati punibili con una pena detentiva della durata massima di almeno tre anni (definiti come «reati gravi») (219), comprese le «attività terroristiche». In secondo luogo, i dati trattati nell'altra giurisdizione possono essere ottenuti ai sensi di tale accordo soltanto in seguito a una «ordinanza [...] soggetta a riesame o vigilanza ai sensi del diritto interno della parte emittente da parte di un organo giurisdizionale, un giudice, un magistrato o un'altra autorità indipendente prima di o durante i procedimenti riguardanti l'applicazione dell'ordinanza» (220). In terzo luogo, qualsiasi ordinanza deve «essere basata su requisiti per una giustificazione ragionevole basata su fatti articolabili e credibili, particolarità, legalità e gravità relativi alla condotta oggetto di indagine» (221) nonché «essere mirata su conti specifici e individuare una persona specifica o un conto, un indirizzo o un dispositivo personale specifico oppure qualsiasi altro identificatore specifico» (222). In quarto luogo, i dati ottenuti ai sensi di tale accordo beneficiano di protezioni equivalenti alle garanzie specifiche previste dal cosiddetto «accordo quadro UE-US» (223), un accordo generale in materia di protezione dei dati concluso nel dicembre 2016 dall'UE e dagli Stati Uniti e che stabilisce le garanzie e i diritti applicabili ai trasferimenti di dati nel settore della cooperazione tra autorità di contrasto, che sono tutte integrate in tale accordo mediante riferimento, mutatis mutandis, per tenere conto in particolare della natura specifica dei trasferimenti (ossia trasferimenti da operatori privati a un'autorità di contrasto, piuttosto che trasferimenti tra autorità di contrasto) (224). L'accordo UK-US prevede specificamente che verranno applicate protezioni equivalenti a quelle previste dall'accordo quadro UE-USA «a tutte le informazioni personali prodotte nell'esecuzione di ordinanze soggette all'accordo in maniera da produrre protezioni equivalenti» (225).

(155)

I dati trasferiti ad autorità statunitensi ai sensi dell'accordo UK-US dovrebbero pertanto beneficiare di protezioni fornite da uno strumento del diritto dell'Unione, con gli adattamenti necessari per riflettere la natura dei trasferimenti in questione. Le autorità del Regno Unito hanno inoltre confermato che le protezioni dell'accordo quadro si applicheranno a tutte le informazioni personali prodotte o conservate ai sensi dell'accordo, indipendentemente dalla natura o dal tipo di organismo che presenta la richiesta (ad esempio tanto le autorità di contrasto federali quanto quelle statali degli Stati Uniti), di conseguenza in tutti i casi deve essere fornita una protezione equivalente. Tuttavia le autorità del Regno Unito hanno altresì spiegato che i dettagli dell'attuazione concreta delle garanzie in materia di protezione dei dati sono ancora oggetto di discussioni tra il Regno Unito e gli Stati Uniti. Nel contesto dei colloqui con i servizi della Commissione europea in merito alla presente decisione, le autorità del Regno Unito hanno confermato che consentiranno all'accordo di entrare in vigore soltanto dopo aver accertato che la sua attuazione sia conforme agli obblighi giuridici in esso previsti, compresa la chiarezza rispetto alla conformità con i livelli di protezione dei dati per eventuali dati richiesti ai sensi di tale accordo. Dato che una possibile entrata in vigore di tale accordo può incidere sul livello di protezione valutato nella presente decisione, qualsiasi informazione e chiarimento futuro riguardante il modo in cui gli Stati Uniti rispetteranno i loro obblighi nell'ambito dell'accordo dovrebbe essere comunicato dal Regno Unito alla Commissione europea, non appena si renda disponibile e in ogni caso prima dell'entrata in vigore dell'accordo, in maniera da garantire un corretto monitoraggio della presente decisione in linea con l'articolo 45, paragrafo 4, del regolamento (UE) 2016/679. Particolare attenzione sarà prestata all'applicazione e all'adattamento delle protezioni di cui all'accordo quadro in relazione al tipo specifico di trasferimenti oggetto dell'accordo UK-US.

(156)

Più in generale, qualsiasi sviluppo pertinente per quanto concerne l'entrata in vigore e l'applicazione dell'accordo sarà debitamente preso in considerazione nel contesto del monitoraggio continuo della presente decisione, anche rispetto alle necessarie conseguenze da trarre in caso di indicazione che non sia più garantito un livello di protezione sostanzialmente equivalente.

(157)

A seconda dei poteri utilizzati dalle autorità competenti durante il trattamento di dati personali per una finalità di contrasto (ai sensi della legge del 2018 sulla protezione dei dati o della legge del 2016 sui poteri di indagine), organismi diversi assicurano la vigilanza sull'utilizzo di tali poteri. In particolare l'Information Commissioner vigila sul trattamento di dati personali quando quest'ultimo rientra nell'ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati (226). La vigilanza indipendente e giudiziaria sull'uso dei poteri di indagine ai sensi della legge del 2016 sui poteri di indagine è assicurata dall'Investigatory Powers Commissioner Office (IPCO) (227) (questo aspetto è affrontato nei considerando da 250 a 255). Inoltre una vigilanza aggiuntiva è garantita dal parlamento così come da altri organismi.

(158)

Le funzioni generali dell'Information Commissioner di cui l'indipendenza e l'organizzazione sono spiegate al considerando 87 — in relazione al trattamento di dati personali che rientra nell'ambito di applicazione della parte 3 della legge del 2018 sulla protezione dei dati sono stabilite nell'allegato 13 di detta legge. Il compito principale dell'ICO consiste nel monitorare e far rispettare la parte 3 della legge del 2018 sulla protezione dei dati, nel promuovere la sensibilizzazione del pubblico e nel consigliare il parlamento, il governo e altre istituzioni e organismi. Ai fini del mantenimento dell'indipendenza del potere giudiziario, l'Information Commissioner non è autorizzato a esercitare le sue funzioni in relazione al trattamento di dati personali da parte di un soggetto o di un organo giurisdizionale che agisce nell'esercizio delle proprie funzioni giurisdizionali. In tali circostanze altri organismi esercitano le funzioni di vigilanza, come spiegato ai considerando da 99 a 103.

(159)

All'Information Commissioner sono riconosciuti poteri generali di indagine, correttivi, autorizzativi e consultivi in relazione al trattamento di dati personali al quale si applica la parte 3. In particolare l'Information Commissioner ha il potere di notificare al titolare del trattamento o al responsabile del trattamento una presunta violazione della parte 3 della legge del 2018 sulla protezione dei dati, di emettere avvertimenti o ammonimenti nei confronti di un titolare del trattamento o di un responsabile del trattamento che abbia violato le disposizioni della parte 3 di detta legge, nonché di emettere di propria iniziativa o su richiesta, pareri indirizzati al parlamento, al governo o ad altre istituzioni e ad altri organismi nonché al pubblico in merito a qualsiasi questione relativa alla protezione dei dati personali (228).

(160)

Inoltre l'Information Commissioner ha il potere di emettere avvisi di informazione (229), avvisi di valutazione (230) e avvisi di esecuzione (231) nonché il potere di accedere ai documenti di titolari del trattamento e responsabili del trattamento, di accedere ai loro locali (232) ed emettere sanzioni amministrative pecuniarie sotto forma di avvisi di irrogazione di sanzioni (233). La Regulatory Action Policy dell'ICO stabilisce le circostanze in cui l'Ufficio emette rispettivamente avvisi di informazione, di valutazione, di esecuzione e di irrogazione di sanzioni (234) (cfr. anche il considerando 93 e la decisione di adeguatezza sulla direttiva (UE) 2016/680, considerando 101 e 102).

(161)

Secondo le sue ultime relazioni annuali (2018– 2019 (235), 2019- 2020 (236)), l'Information Commissioner ha condotto una serie di indagini ed adottato misure di esecuzione in relazione al trattamento di dati da parte delle autorità di contrasto. Ad esempio l'Information Commissioner ha condotto un'indagine e ha pubblicato un parere nell'ottobre del 2019 in merito all'utilizzo da parte delle autorità di contrasto di tecnologie di riconoscimento facciale nei luoghi pubblici. Tale indagine si è concentrata in particolare sull'uso delle capacità di riconoscimento facciale nel contesto del servizio di polizia del Galles meridionale e del servizio di polizia metropolitano. L'Information Commissioner ha indagato altresì in merito a «Gangs Matrix» (237) del servizio di polizia metropolitano e ha riscontrato una serie di gravi violazioni della legge sulla protezione dei dati che potrebbero compromettere la fiducia del pubblico nella matrice e nelle modalità di utilizzo dei dati. Nel novembre del 2018 l'Information Commissioner ha emesso un avviso di esecuzione e il servizio di polizia metropolitano ha successivamente adottato le misure necessarie per aumentare la sicurezza e la responsabilizzazione nonché per assicurare che i dati venissero utilizzati in maniera proporzionale. Un ulteriore esempio di un'azione di esecuzione in questo settore è la sanzione pecuniaria di 325 000 GBP comminata dall'Information Commissioner nel maggio del 2018 nei confronti del Crown Prosecution Service, per aver perso DVD non crittografati contenenti registrazioni di interrogatori di polizia. L'Information Commissioner ha condotto inoltre indagini su argomenti di più ampia portata; ad esempio nella prima metà del 2020 ha indagato sull'uso dell'estrazione di dati da telefoni cellulari per finalità di polizia nonché sul trattamento di dati di vittime da parte della polizia. Inoltre l'Information Commissioner sta attualmente indagando in merito a un caso che implica l'accesso da parte delle autorità di contrasto a dati detenuti da un soggetto del settore privato, Clearview AI Inc (238).

(162)

Oltre ai poteri di esecuzione dell'Information Commissioner menzionati ai considerando 160 e 161, talune violazioni della legislazione in materia di protezione dei dati costituiscono reati e possono pertanto essere soggette a sanzioni penali (articolo 196 della legge del 2018 sulla protezione dei dati). Si tratta ad esempio dell'ottenimento, della comunicazione o della conservazione di dati personali senza il consenso del titolare del trattamento, e della trasmissione di dati personali a un'altra persona senza il consenso del titolare del trattamento (239); della reidentificazione di informazioni a partire da dati personali anonimizzati senza il consenso del titolare del trattamento responsabile dell'anonimizzazione dei dati personali (240); dell'ostruzione intenzionale dell'esercizio da parte dell'Information Commissioner dei suoi poteri in relazione all'ispezione di dati personali conformemente agli obblighi internazionali (241), del rilascio di dichiarazioni false in risposta a un avviso di informazione o della distruzione di informazioni in relazione ad avvisi di informazione e di valutazione (242).

(163)

Oltre all'Information Commissioner, vi sono diversi organismi di vigilanza nel settore delle attività di contrasto in materia penale aventi mandati specifici pertinenti per questioni concernenti la protezione dei dati. Tra di essi figurano il Biometrics Commissioner (243) (commissario per la conservazione e l'uso di materiale biometrico) e il Surveillance Camera Commissioner (244) (commissario per le telecamere di sorveglianza).

(164)

L'Home Affairs Select Committee (HASC, commissione ad hoc per gli affari interni) assicura la vigilanza parlamentare nel settore delle attività di contrasto. Tale commissione è costituita da 11 membri del parlamento, appartenenti ai tre maggiori partiti politici. Detta commissione ha il compito di esaminare le spese, l'amministrazione e la politica del ministero dell'Interno e degli organismi pubblici associati, ossia in particolare le forze di polizia e la NCA, il cui lavoro può essere in particolare oggetto di esame da parte della commissione (245).

(165)

Nel rispetto dei limiti del suo mandato, tale commissione può scegliere il proprio oggetto di inchiesta, compresi casi specifici, a condizione che la questione non sia sub iudice. Tale commissione può altresì cercare di ottenere prove scritte e orali da una vasta gamma di gruppi e di persone fisiche pertinenti. Produce relazioni sulle sue risultanze ed emette raccomandazioni indirizzate al governo (246). Il governo deve rispondere a ciascuna delle raccomandazioni di una relazione entro 60 giorni (247).

(166)

Nel settore della sorveglianza, la commissione ha prodotto anche una relazione relativa alla legge del 2000 sul regolamento sui poteri di indagine (RIPA 2000) (248), dalla quale è emerso che tale legge non era adeguata alla finalità. Tale relazione è stata presa in considerazione durante la sostituzione di parti significative della RIPA 2000 con la legge del 2016 sui poteri di indagine. Un elenco completo delle indagini è disponibile sul sito web della commissione (249).

(167)

In Scozia i compiti della commissione ad hoc per gli affari interni sono svolti dalla Justice Subcommittee on Policing (sottocommissione per la giustizia sulle attività di polizia), mentre in Irlanda del Nord sono svolti dalla Committee for Justice (commissione per la giustizia) (250).

(168)

Per quanto concerne il trattamento di dati da parte delle autorità di contrasto, meccanismi di ricorso sono disponibili ai sensi della parte 3 della legge del 2018 sulla protezione dei dati e della legge del 2016 sui poteri di indagine, nonché ai sensi della legge del 1998 sui diritti umani.

(169)

Tale serie di meccanismi offre agli interessati mezzi di ricorso effettivi in sede amministrativa e giudiziale che consentono loro in particolare di assicurare i loro diritti, compreso il diritto di avere accesso ai propri dati personali o di ottenerne la rettifica o la cancellazione.

(170)

Innanzitutto, ai sensi della sezione 165 della legge del 2018 sulla protezione dei dati, l'interessato ha il diritto di proporre reclamo presso l'Information Commissioner qualora ritenga che, in relazione ai dati personali che lo riguardano, sia stata commessa una violazione della parte 3 della legge del 2018 sulla protezione dei dati (251). L'Information Commissioner ha il potere di valutare il rispetto della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento e del responsabile del trattamento, di richiedere loro di adottare misure necessarie in caso di non conformità nonché di irrogare sanzioni pecuniarie.

(171)

In secondo luogo la legge del 2018 sulla protezione dei dati prevede il diritto a disporre di un mezzo di ricorso nei confronti dell'Information Commissioner qualora non gestisca adeguatamente un reclamo presentato dall'interessato. Più specificamente se l'Information Commissioner non fa «progredire» (252) un reclamo promosso dall'interessato, il reclamante ha accesso a un ricorso giurisdizionale, in quanto può adire un First-tier Tribunal (253) (tribunale di primo grado) affinché quest'ultimo ordini all'Information Commissioner di adottare misure adeguate per dare seguito al reclamo oppure di informare il reclamante in merito ai progressi compiuti in relazione al reclamo (254). Inoltre qualsiasi persona che riceva uno qualsiasi degli avvisi menzionati (di informazione, di valutazione, di esecuzione o di irrogazione di sanzioni) dall'Information Commissioner può impugnarlo adendo un First-tier Tribunal. Laddove quest'ultimo ritenga che la decisione dell'Information Commissioner non sia conforme alla legge o che questi avrebbe dovuto esercitare il proprio potere discrezionale in modo diverso, detto organo deve accogliere il ricorso oppure sostituire l'avviso o la decisione con un altro avviso o un'altra decisione che l'Information Commissioner avrebbe potuto emettere o rendere (255).

(172)

In terzo luogo le persone fisiche possono presentare un ricorso giurisdizionale nei confronti di titolari del trattamento e responsabili del trattamento adendo direttamente gli organi giurisdizionali. In particolare ai sensi della sezione 167 della legge del 2018 sulla protezione dei dati, l'interessato può presentare una domanda dinanzi un organo giurisdizionale in relazione a una violazione di un diritto riconosciutogli dalla legislazione in materia di protezione dei dati e, mediante un'ordinanza, detto organo giurisdizionale può richiedere al titolare del trattamento di adottare (o di astenersi dall'adottare) qualsiasi misura in relazione al trattamento per conformarsi alla legge del 2018 sulla protezione dei dati. Inoltre, ai sensi della sezione 169 della legge del 2018 sulla protezione dei dati, qualsiasi persona che subisca danni a causa di una violazione di un requisito sancito dalla legislazione in materia di protezione dei dati (compresa la parte 3 della legge del 2018 sulla protezione dei dati), diversa dal GDPR del Regno Unito, ha diritto al risarcimento di tali danni da parte del titolare del trattamento o del responsabile del trattamento, fatta eccezione per il caso in cui né titolare del trattamento né il responsabile del trattamento sia in alcun modo responsabile per l'evento che ha cagionato i danni in questione. Tali danni comprendono tanto la perdita finanziaria quanto danni che non contemplano una perdita finanziaria, quali ad esempio la sofferenza.

(173)

Infine, qualsiasi persona, nella misura in cui ritenga che i suoi diritti, compresi quelli relativi alla tutela della vita privata e alla protezione dei dati, siano stati violati da qualsiasi autorità pubblica, può ottenere rimedio dinanzi gli organi giurisdizionali del Regno Unito ai sensi della legge del 1998 sui diritti umani (256); inoltre, dopo aver esperito i mezzi di ricorso nazionali, una persona, un'organizzazione non governativa così come gruppi di persone fisiche possono ottenere rimedio adendo la Corte europea dei diritti dell'uomo per violazioni dei diritti garantiti ai sensi della convenzione europea dei diritti dell'uomo (257) (cfr. considerando 111).

(174)

Le persone fisiche possono ottenere riparazione per violazioni della legge del 2016 sui poteri di indagine adendo l'Investigatory Powers Tribunal (organo giurisdizionale competente per i poteri di indagine). I mezzi di ricorso disponibili ai sensi della legge del 2016 sui poteri di indagine sono descritti nei considerando da 263 a 269.

(175)

Nell'ordine giuridico del Regno Unito, i servizi di intelligence autorizzati a raccogliere informazioni elettroniche detenute da titolari del trattamento o responsabili del trattamento per motivi di sicurezza nazionale, in situazioni pertinenti per uno scenario di adeguatezza, sono il Security Service (258) (MI5), il Secret Intelligence Service (259) (SIS) e il Government Communications Headquarters (260) (GCHQ) (261).

(176)

Nel Regno Unito i poteri delle agenzie di intelligence sono stabiliti dalla legge del 2016 sui poteri di indagine e dalla RIPA 2000, che, unitamente alla legge del 2018 sulla protezione dei dati, definiscono l'ambito di applicazione materiale e personale di tali poteri e le limitazioni e garanzie per il loro esercizio. Tali poteri nonché i limiti e le garanzie ed essi applicabili sono valutati in dettaglio nelle sezioni che seguono.

(177)

La legge del 2016 sui poteri di indagine definisce il quadro giuridico per l'utilizzo dei poteri di indagine, ossia il potere di intercettare, accedere ai dati relativi alle comunicazioni e attuare ingerenze nelle apparecchiature. La legge del 2016 sui poteri di indagine vieta, sotto forma di divieto generale, e qualifica come reato l'utilizzo di tecniche che consentono l'accesso a contenuti di comunicazioni, l'accesso a dati relativi alle comunicazioni o ingerenze nelle apparecchiature senza autorizzazione legittima (262). Ciò si riflette nel fatto che l'esercizio di tali poteri di indagine è lecito soltanto se effettuato sulla base di un mandato o di un'autorizzazione (263).

(178)

La legge del 2016 sui poteri di indagine stabilisce norme dettagliate che disciplinano l'ambito di applicazione e l'applicazione di ciascun potere di indagine, e le relative limitazioni e garanzie specifiche. Si applicano norme diverse a seconda del tipo di potere di indagine (intercettazione di comunicazioni, acquisizione e conservazione di dati relativi alle comunicazioni e ingerenza in apparecchiature) (264), nonché della possibilità che tale potere sia esercitato in relazione a un obiettivo specifico o in maniera massiva. I dettagli sull'ambito di applicazione, le garanzie e le limitazioni di ciascuna misura previsti dalla legge del 2016 sui poteri di indagine sono descritti nella sezione specifica che segue.

(179)

Inoltre la legge del 2016 sui poteri di indagine è integrata da una serie di codici di pratica statutari, emessi dal segretario di Stato, approvati da entrambe le camere del parlamento (265) e applicabili in tutto il paese, che forniscono ulteriori orientamenti in merito all'esercizio di tali poteri (266). Mentre gli interessati possono avvalersi direttamente delle disposizioni previste dalla legge del 2016 sui poteri di indagine per esercitare i loro diritti, l'allegato 7, paragrafo 5, della medesima legge specifica che i codici di pratica sono ammissibili come prova nel contesto di procedimenti civili e penali e che l'organo giurisdizionale o l'autorità di controllo può tenere conto di qualsiasi non conformità rispetto ai codici quando esamina una questione pertinente nel contesto di un procedimento giudiziario (267). Nel contesto della valutazione della «qualità della legge» relativa alla precedente legislazione del Regno Unito nel settore della sorveglianza, ossia la RIPA 2000, la Grande Sezione della Corte europea dei diritti dell'uomo ha espressamente riconosciuto la pertinenza dei codici di condotta del Regno Unito e ha accettato che le sue disposizioni possano essere prese in considerazione nel valutare la prevedibilità della normativa che consente la sorveglianza (268).

(180)

Occorre poi osservare che le agenzie di sicurezza nazionale e alcune autorità di contrasto (269) dispongono di poteri mirati (intercettazione mirata (270), acquisizione mirata di dati relativi alle comunicazioni (271), conservazione mirata di dati relativi alle comunicazioni (272) e ingerenza mirata in apparecchiature (273)), mentre soltanto i servizi di intelligence possono fare uso di tali poteri in maniera massiva (ossia intercettazione massiva (274), acquisizione massiva di dati relativi alle comunicazioni (275), ingerenza massiva in apparecchiature (276) e serie massive di dati personali (277)).

(181)

Nel decidere quale potere di indagine dovrebbe essere utilizzato, l'agenzia di intelligence deve rispettare gli «obblighi in relazione alla protezione della vita privata» di cui alla sezione 2, paragrafo 2, lettera a), della legge del 2016 sui poteri di indagine, che comprende una verifica della necessità e della proporzionalità. Più specificamente, ai sensi di tale disposizione, un'autorità pubblica che ha intenzione di utilizzare un potere di indagine deve valutare: i) se ciò che si vuole conseguire tramite il mandato, l'autorizzazione o l'avviso possa ragionevolmente essere conseguito con altri mezzi meno intrusivi; ii) se il livello di protezione da applicare in relazione a qualsiasi ottenimento di informazioni in virtù del mandato, dell'autorizzazione o dell'avviso sia più elevato in ragione della sensibilità particolare di tali informazioni; iii) l'interesse pubblico per l'integrità e la sicurezza dei sistemi di telecomunicazione e dei servizi postali; e iv) qualsiasi altro aspetto di interesse pubblico nella protezione della vita privata (278).

(182)

Le modalità di applicazione di tale criterio, così come il modo in cui la loro conformità è valutata nel contesto dell'autorizzazione dell'utilizzo di tali poteri da parte del segretario di Stato e dei commissari giudiziari indipendenti, sono ulteriormente specificate nei codici di prativa pertinenti. In particolare, l'utilizzo di uno qualsiasi di tali poteri di indagine deve sempre essere «proporzionato a quanto si vuole conseguire [il che] implica un bilanciamento tra la gravità dell'intrusione nella vita privata (e altre considerazioni di cui alla sezione 2, paragrafo 2) rispetto alla necessità dell'attività in termini investigativi, operativi o di capacità». Ciò significa in particolare che «dovrebbe offrire una prospettiva realistica di apportare il beneficio previsto e non dovrebbe essere sproporzionato o arbitrario» così come che «[n]essuna ingerenza nella vita privata dovrebbe essere considerata proporzionata se le informazioni che si cercano potrebbero ragionevolmente essere ottenute ricorrendo a mezzi meno intrusivi» (279). Più specificamente, il rispetto del principio di proporzionalità deve essere valutato tenendo conto dei seguenti criteri: «i) la portata dell'ingerenza proposta in relazione alla tutela della vita privata rispetto a ciò che si vuole conseguire; ii) le modalità e i motivi per i quali i metodi da adottare causeranno l'ingerenza minima possibile per la persona ed altri soggetti; iii) l'eventualità o meno che l'attività costituisca un uso adeguato dell'atto e un modo ragionevole, avendo considerato tutte le alternative ragionevoli, per conseguire ciò che si vuole conseguire; iv) quali altri metodi, a seconda dei casi, non sono stati attuati o sono stati impiegati ma sono valutati essere insufficienti per soddisfare gli obiettivi operativi in assenza del ricorso al potere di indagine proposto» (280).

(183)

Nella pratica, come spiegato dalle autorità del Regno Unito, ciò assicura che un'agenzia di intelligence stabilisca innanzitutto l'obiettivo operativo (delimitando così la raccolta, ad esempio una finalità di antiterrorismo internazionale nel contesto di una specifica zona geografica) e, in secondo luogo, sulla base di tale obiettivo operativo, dovrà considerare quale opzione tecnica (ad esempio intercettazione, ingerenza in apparecchiature, acquisizione di dati relativi alle comunicazioni mirate o massive) sia la più proporzionata (ossia la meno invasiva per la vita privata, cfr. articolo 2, paragrafo 2, della legge sui poteri di indagine) rispetto all'obiettivo perseguito e possa quindi essere autorizzata ai sensi di una delle basi giuridiche disponibili.

(184)

È opportuno sottolineare che tale affidamento sulle norme di necessità e proporzionalità è stato osservato e accolto con favore anche dal relatore speciale delle Nazioni Unite sul diritto alla tutela della vita privata, Joseph Cannataci, il quale, a proposito del sistema istituito dalla legge del 2016 sui poteri di indagine, ha dichiarato che «[l]e procedure in atto in seno tanto ai servizi di intelligence quanto alle autorità di contrasto sembrano richiedere sistematicamente la considerazione della necessità e della proporzionalità di una misura o di un'operazione di sorveglianza prima che venga raccomandata per l'autorizzazione, così come un suo riesame secondo le stesse basi» (281). Il relatore speciale ha osservato altresì che durante il suo incontro con i rappresentanti delle autorità di contrasto e con le agenzie di sicurezza nazionale «[ha] ricevuto un'espressione condivisa del fatto che il diritto alla tutela della vita privata deve essere una considerazione primaria per qualsiasi decisione concernente le misure di sorveglianza. Tutti hanno compreso e sono consapevoli della necessità e della proporzionalità come principi cardinali da prendere in considerazione».

(185)

I criteri specifici per l'emissione dei diversi mandati, così come le limitazioni e le garanzie stabilite dalla legge del 2016 sui poteri di indagine per ciascun potere di indagine sono dettagliati nei considerando da 186 a 243.

(186)

Esistono tre tipi di mandato per intercettazioni mirate: il mandato di intercettazione mirata (282), il mandato di esame mirato e il mandato di assistenza reciproca (283). Le condizioni per ottenere tali mandati e le relative garanzie sono stabilite nella parte 2, capo 1, della legge del 2016 sui poteri di indagine.

(187)

Un mandato di intercettazione mirata autorizza l'intercettazione delle comunicazioni descritte nel mandato nel corso della loro trasmissione e l'ottenimento di altri dati pertinenti per tali comunicazioni (284), compresi i dati secondari (285). Un mandato di esame mirato autorizza una persona a svolgere la selezione per l'esame di contenuti intercettati ottenuti ai sensi di un mandato di intercettazione massiva (286).

(188)

Qualsiasi mandato a norma della parte 2 della legge del 2016 sui poteri di indagine può essere emesso dal segretario di Stato (287) e approvato da un commissario giudiziario (288). In tutti i casi la durata di qualsiasi tipo di mandato mirato è limitata a 6 mesi (289) e si applicano norme specifiche in relazione alla sua modifica (290) e al suo rinnovo (291).

(189)

Prima di emettere il mandato, il segretario di Stato deve effettuare una valutazione della necessità e della proporzionalità (292). Nello specifico, per un mandato di intercettazione mirata e un mandato di esame mirato, il segretario di Stato dovrebbe verificare se la misura è necessaria in considerazione di uno dei seguenti motivi: l'interesse della sicurezza nazionale; la prevenzione o l'accertamento di reati gravi; o gli interessi del benessere economico del Regno Unito (293) nella misura in cui tali interessi siano pertinenti anche per gli interessi di sicurezza nazionale (294). Al contrario, un mandato di assistenza reciproca (cfr. considerando 139) può essere emesso soltanto se il segretario di Stato ritiene che esistano circostanze equivalenti a quelle nelle quali egli avrebbe emesso un mandato al fine di prevenire e accertare reati gravi (295).

(190)

Il segretario di Stato dovrebbe altresì valutare se la misura sia proporzionata a ciò che si vuole conseguire (296). La valutazione della proporzionalità delle misure richieste deve tener conto degli obblighi generali in relazione alla tutela della vita privata stabiliti dalla sezione 2, paragrafo 2, della legge del 2016 sui poteri di indagine, in particolare la necessità di valutare se ciò che si vuole conseguire tramite il mandato, l'autorizzazione o l'avviso potrebbe essere ragionevolmente conseguito tramite altri mezzi meno intrusivi e se il livello di protezione da applicare in relazione a qualsiasi ottenimento di informazioni in virtù del mandato sia più elevato in ragione della sensibilità particolare di tali informazioni (cfr. considerando 181).

(191)

A tal fine il segretario di Stato dovrà tenere conto di tutti gli aspetti della domanda specificati dall'autorità che presenta la richiesta, in particolare quelli relativi alle persone da sottoporre a intercettazione e la rilevanza della misura per l'indagine. Tali aspetti sono illustrati nel codice di pratica sull'intercettazione di comunicazioni e devono essere descritti con un certo livello di specificità (297). Inoltre la sezione 17 della legge del 2016 sui poteri di indagine richiede che qualsiasi mandato emesso ai sensi del suo capo 2 debba indicare il nome o descrivere la persona specifica o un gruppo specifico di persone, un'organizzazione o i locali da sottoporre a intercettazione («l'obiettivo»). In caso di mandato di intercettazione mirata o di mandato di esame mirato, un tale mandato può riguardare anche un gruppo di persone, più di una persona o un'organizzazione oppure più di una serie di locali (anche denominato «mandato tematico») (298). In tali casi il mandato dovrebbe descrivere la finalità o l'attività comune condivisa dal gruppo di persone o dall'operazione/dalle indagini e indicare il nome oppure descrivere il maggior numero di persone/organizzazioni o una serie di locali, laddove ciò sia ragionevolmente fattibile (299). Infine tutti i mandati emessi ai sensi della parte 2 della legge del 2016 sui poteri di indagine devono specificare gli indirizzi, i numeri, l'apparecchio, i fattori o la combinazione di fattori che devono essere utilizzati per individuare le comunicazioni (300). A tale riguardo il codice di pratica sull'intercettazione di comunicazioni specifica che, in caso di un mandato di intercettazione mirata e mandato di esame mirato «il mandato deve specificare (o descrivere) i fattori o la combinazione di fattori che devono essere utilizzati per individuare le comunicazioni. Se le comunicazioni devono essere individuate in riferimento, ad esempio, a un numero di telefono il numero deve essere specificato nella sua interezza. Tuttavia nei casi in cui è necessario utilizzare selettori di internet molto complessi o che variano continuamente per individuare le comunicazioni, occorre descrivere tali selettori per quanto possibile» (301).

(192)

Una garanzia importante in questo contesto consiste nel fatto che la valutazione effettuata dal segretario di Stato per decidere se emettere un mandato deve essere approvata da un commissario giudiziario indipendente (302) che verificherà in particolare se la decisione di emettere il mandato sia conforme ai principi di necessità e proporzionalità (303) (per informazioni in merito allo status e al ruolo dei commissari giudiziari cfr. considerando da 251 a 256). La legge del 2016 sui poteri di indagine chiarisce anche che, quando si effettua tale controllo, il commissario giudiziario deve applicare i medesimi principi che sarebbero stati applicati da un organo giurisdizionale in relazione a una domanda di controllo giurisdizionale (304). Ciò assicura che in ciascun caso, e prima che avvenga l'accesso ai dati, il rispetto del principio di necessità e proporzionalità sia sistematicamente oggetto di controllo da parte di un organismo indipendente.

(193)

La legge del 2016 sui poteri di indagine prevede poche eccezioni specifiche e limitate per effettuare intercettazioni mirate senza mandato. I casi limitati sono specificati nella legge (305) e, ad eccezione di quello basato sul «consenso» del mittente/destinatario, sono svolti da persone (enti pubblici o privati) diverse dalle agenzie di sicurezza nazionale. Inoltre, questo tipo di intercettazioni è effettuato a fini diversi dalla raccolta di «intelligence» (306) e per alcuni di essi è molto improbabile che la raccolta possa avvenire nel contesto di uno scenario di «trasferimento» (ad esempio in caso di intercettazione effettuata in un ospedale psichiatrico o in carcere). Considerata la natura dell'organo cui si applicano questi casi specifici (diverso dalle agenzie di sicurezza nazionale), si applicheranno tutte le garanzie previste dalla parte 2 della legge del 2018 sulla protezione dei dati e dal GDPR del Regno Unito, compresi la vigilanza dell'ICO e i meccanismi di ricorso disponibili. Inoltre, in aggiunta alle garanzie previste dalla legge del 2018 sulla protezione dei dati, in alcuni casi la legge del 2016 sui poteri di indagine prevede anche la vigilanza ex post dell'IPCO (307).

(194)

Quando viene effettuata l'intercettazione, sono applicabili ulteriori limitazioni e garanzie alla luce dello status specifico della persona o delle persone le cui comunicazioni sono oggetto di intercettazione (308). Ad esempio, l'intercettazione di materiale coperto da segreto professionale è autorizzata soltanto in presenza di circostanze eccezionali e cogenti, la persona che emette il mandato deve considerare l'interesse pubblico alla riservatezza del materiale coperto da segreto professionale e il fatto che siano previsti requisiti specifici per la gestione, la conservazione e la comunicazione di tale materiale (309).

(195)

Inoltre la legge del 2016 sui poteri di indagine prevede garanzie specifiche relative alla sicurezza, alla conservazione e alla comunicazione che il segretario di Stato dovrebbe tenere in considerazione prima di emettere un mandato mirato (310). In particolare la sezione 53, paragrafo 5, della legge del 2016 sui poteri di indagine richiede che ogni copia fatta di uno qualsiasi di tali materiali raccolti nel quadro del mandato sia conservata in maniera sicura e venga distrutta non appena non sussistano più i motivi pertinenti per la sua conservazione, mentre la sezione 53, paragrafo 2, della legge del 2016 sui poteri di indagine richiede che il numero di persone destinatarie della comunicazione, della messa a disposizione o della copia di qualsiasi materiale debba essere limitato al minimo necessario per le finalità di legge.

(196)

Infine quando il materiale che è stato intercettato mediante un mandato di intercettazione mirata o un mandato di assistenza reciproca deve essere consegnato a un paese terzo («comunicazione all'estero»), la legge del 2016 sui poteri di indagine prevede che il segretario di Stato debba garantire che siano in atto dispositivi adeguati per assicurare che esistano garanzie analoghe in termini di sicurezza, conservazione e comunicazione in tale paese terzo (311). Inoltre, la sezione 109, paragrafo 2, della legge del 2018 sulla protezione dei dati prevede che i servizi di intelligence possano trasferire dati personali al di fuori del territorio del Regno Unito solo se il trasferimento costituisce una misura necessaria e proporzionata per l'esercizio delle funzioni statutarie del titolare del trattamento o per altre finalità previste dalla sezione 2, paragrafo 2, lettera a), della legge del 1989 sul servizio di sicurezza o dalla sezione 2, paragrafo 2, lettera a), e dalla sezione 4, paragrafo 2, lettera a), della legge del 1994 sui servizi di intelligence (312). È importante sottolineare che tali requisiti si applicano anche nei casi in cui è invocata l'esenzione per motivi di sicurezza nazionale a norma della sezione 110 della legge del 2018 sulla protezione dei dati, in quanto detta sezione non elenca la sezione 109 della medesima legge come una delle disposizioni che possono essere disapplicate se è richiesta un'esenzione rispetto a determinate disposizioni al fine di salvaguardare la sicurezza nazionale.

(197)

La legge del 2016 sui poteri di indagine consente al segretario di Stato di richiedere agli operatori di telecomunicazioni di conservare dati relativi alle comunicazioni per finalità di accesso mirato da parte di una serie di autorità pubbliche, comprese le autorità di contrasto e le agenzie di intelligence. La parte 4 della legge del 2016 sui poteri di indagine prevede la conservazione dei dati relativi alle comunicazioni, mentre la parte 3 prevede l'acquisizione mirata di dati relativi alle comunicazioni. La parte 3 e la parte 4 della legge del 2016 sui poteri di indagine stabiliscono altresì limitazioni specifiche sull'utilizzo di tali poteri e prevedono garanzie specifiche.

(198)

L'espressione «dati relativi alle comunicazioni» indica il «chi», il «quando», il «dove» e il «come» di una comunicazione, ma non il contenuto, ossia ciò che è stato detto o scritto. A differenza dell'intercettazione, l'acquisizione e la conservazione di dati relativi alle comunicazioni non sono finalizzate all'ottenimento dei contenuti delle comunicazioni, bensì ad ottenere informazioni quali l'abbonato a un servizio telefonico o una fattura dettagliata. Potrebbe rientrare in tale contesto il tempo e la durata della comunicazione, il numero o l'indirizzo e-mail del mittente e del destinatario e, talvolta, l'ubicazione dei dispositivi dai quali è stata effettuata la telecomunicazione (313).

(199)

Occorre osservare che la conservazione e l'acquisizione dei dati relativi alle comunicazioni non riguarderà di norma dati personali di interessati dell'UE trasferiti ai sensi della presente decisione verso il Regno Unito. L'obbligo di conservare o comunicare dati relativi alle comunicazioni ai sensi della parte 3 e della parte 4 della legge del 2016 sui poteri di indagine riguarda i dati raccolti da operatori di telecomunicazioni nel Regno Unito direttamente da utenti di un servizio di telecomunicazioni (314). In genere tale tipo di trattamento «rivolto al cliente» non comporta un trasferimento sulla base della presente decisione, ossia un trasferimento da un titolare del trattamento/responsabile del trattamento nell'UE verso un titolare del trattamento/responsabile del trattamento nel Regno Unito.

(200)

Tuttavia, per ragioni di completezza, le condizioni e le garanzie che disciplinano tali regimi di acquisizione e di conservazione sono analizzate nei considerando che seguono.

(201)

Come premessa, va osservato che la conservazione e l'acquisizione mirata dei dati relativi alle comunicazioni sono a disposizione sia delle agenzie di sicurezza nazionale che di talune autorità di contrasto (315). Le condizioni per richiedere la conservazione e/o l'acquisizione dei dati relativi alle comunicazioni possono variare a seconda del motivo per cui è richiesta la misura, ossia una finalità di sicurezza nazionale o di contrasto.

(202)

In particolare, mentre il nuovo regime ha introdotto il requisito generale di un'autorizzazione ex ante da parte di un organismo indipendente che si applicherà in tutti i casi in cui i dati relativi alle comunicazioni sono conservati e/o acquisiti (a fini di contrasto o di sicurezza nazionale), a seguito della sentenza Tele2/Watson della Corte di giustizia dell'Unione europea (316) sono state introdotte garanzie specifiche quando la misura è richiesta a fini di contrasto. In particolare, quando la conservazione o l'acquisizione dei dati relativi alle comunicazioni è richiesta a fini di contrasto, l'autorizzazione ex ante deve sempre essere rilasciata dall'Investigatory Power Commissioner. Non è invece sempre così quando la misura è richiesta a fini di sicurezza nazionale, poiché, come descritto di seguito, in alcuni casi tale tipo di misure può essere autorizzato da una diversa «persona autorizzante». Inoltre, il nuovo regime ha innalzato ai «reati gravi» la soglia per la quale possono essere consentite la conservazione e l'acquisizione dei dati relativi alle comunicazioni (317).

(203)

Ai sensi della parte 3 della legge del 2016 sui poteri di indagine, le autorità pubbliche pertinenti sono autorizzate ad ottenere dati relativi alle comunicazioni da un operatore di telecomunicazioni o qualsiasi persona in grado di ottenere e comunicare tali dati. L'autorizzazione può non consentire l'intercettazione dei contenuti delle comunicazioni (318) e cessa di avere effetto dopo un termine di un mese (319) con possibilità di rinnovo previa un'autorizzazione aggiuntiva (320). L'acquisizione dei dati relativi alle comunicazioni richiede l'autorizzazione dell'Investigatory Powers Commissioner (IPC) (321) (per quanto riguarda lo status e i poteri dell'IPC cfr. considerando da 250 a 251). È sempre il caso quando l'acquisizione dei dati relativi alle comunicazioni è richiesta da un'autorità di contrasto competente. Tuttavia, conformemente alla sezione 61 della legge del 2016 sui poteri di indagine, qualora i dati vengano acquisiti per interessi di sicurezza nazionale o per il benessere economico del Regno Unito nella misura in cui sia pertinente per la sicurezza nazionale, oppure laddove un membro di un'agenzia di intelligence presenti una domanda ai sensi della sezione 61, paragrafo 7, lettera b) (322), l'acquisizione può essere in alternativa (323) autorizzata dall'Investigatory Powers Commissioner oppure da un funzionario di grado elevato designato (324). Il funzionario designato deve essere indipendente dall'indagine o dall'operazione in questione e deve disporre di conoscenze professionali in materia di principi e legislazione concernenti i diritti umani, in particolare per quanto riguarda la necessità e la proporzionalità (325). La decisione adottata dal funzionario designato sarà soggetta a vigilanza ex post da parte dell'Investigatory Powers Commissioner (cfr. considerando 254 per ulteriori dettagli sulle funzioni di vigilanza ex post dell'Investigatory Powers Commissioner).

(204)

L'autorizzazione all'acquisizione di dati relativi alle comunicazioni si basa su una valutazione della necessità e della proporzionalità della misura. Più specificamente la necessità della misura è valutata alla luce dei motivi elencati nella legislazione (326). Considerando la natura mirata di tale misura, essa deve essere altresì necessaria per un'indagine o un'operazione specifica (327). Ulteriori requisiti sulla valutazione della necessità delle misure sono stabiliti nel codice di pratica sui dati relativi alle comunicazioni (328). Tale codice prevede in particolare che la domanda presentata dall'autorità richiedente debba individuare tre elementi minimi per giustificare la necessità di tale richiesta: i) l'evento oggetto di indagine, come un reato o l'ubicazione di una persona scomparsa vulnerabile; ii) la persona i cui dati sono oggetto di ricerca, come un indiziato, un testimone o una persona scomparsa e come sono collegati all'evento; e iii) i dati relativi alle comunicazioni oggetto di richiesta, come un numero di telefono o un indirizzo IP, e il modo in cui questi dati siano collegati alla persona e all'evento (329).

(205)

Inoltre l'acquisizione di dati relativi alle comunicazioni deve essere proporzionata a ciò che si cerca di conseguire (330). Il codice di pratica sui dati relativi alle comunicazioni chiarisce che, nel condurre tale valutazione, la persona che rilascia l'autorizzazione dovrebbe effettuare un bilanciamento tra «la portata dell'ingerenza nei diritti e nelle libertà di una persona fisica rispetto a un beneficio specifico per l'indagine o l'operazione intrapresa da un'autorità pubblica competente nell'interesse pubblico» e che tenendo conto di tutte le considerazioni di un caso particolare, «un'ingerenza nei diritti di una persona fisica può comunque non essere giustificata perché l'impatto negativo sui diritti di un'altra persona fisica o di un gruppo di persone fisiche è troppo grave». Inoltre, al fine di valutare specificamente la proporzionalità della misura, detto codice elenca una serie di elementi che dovrebbero essere inclusi nella domanda presentata dall'autorità richiedente (331). Occorre altresì prestare particolare attenzione al tipo di dati relativi alle comunicazioni (dati relativi ad «entità» o ad «eventi» (332)) da acquisire e si deve dare preferenza all'uso di categorie di dati meno intrusive (333). Il codice di pratica sui dati relativi alle comunicazioni contiene altresì istruzioni specifiche per le autorizzazioni concernenti dati relativi alle comunicazioni di persone che svolgono professioni particolari (quali medici, avvocati, giornalisti, parlamentari o ministri del culto) (334) che sono soggette a garanzie supplementari (335).

(206)

La parte 4 della legge del 2016 sui poteri di indagine stabilisce le norme sulla conservazione di dati relativi alle comunicazioni e in particolare i criteri che consentono al segretario di Stato di rilasciare un avviso di conservazione (336). Le garanzie introdotte dalla legge sui poteri di indagine sono le stesse sia per i dati conservati per una finalità di conservazione sia per i dati conservati nell'interesse della sicurezza nazionale.

(207)

L'emissione di tali avvisi di conservazione mira a garantire che gli operatori di telecomunicazioni conservino, per un periodo massimo di 12 mesi, i dati relativi alle comunicazioni pertinenti che verrebbero altrimenti cancellati una volta non più necessario per finalità commerciali (337). I dati conservati devono rimanere disponibili per il periodo richiesto, qualora fosse successivamente necessario per un'autorità pubblica acquisirli ai sensi di un'autorizzazione per un'acquisizione mirata dei dati relativi alle comunicazioni di cui alla parte 3 della legge del 2016 sui poteri di indagine e descritta nei considerando da 203 a 205.

(208)

L'esercizio del potere di richiedere la conservazione di determinati dati è soggetto a una serie di limitazioni e garanzie. Il segretario di Stato può rivolgere un avviso di conservazione a uno o più operatori (338) soltanto quando ritiene che il requisito della conservazione dei dati sia necessario per una delle finalità stabilite dalla legge (339) e sia proporzionato a ciò che si intende conseguire (340). Come chiarito dalla stessa legge del 2016 sui poteri di indagine (341), prima di emettere un avviso di conservazione, il segretario di Stato deve prendere in considerazione: i probabili benefici dell'avviso (342); una descrizione dei servizi di telecomunicazione; l'opportunità di limitare i dati da conservare con riferimento all'ubicazione o a descrizioni di persone alle quali sono forniti i servizi di telecomunicazione (343); il numero probabile di utenti (se noto) di qualsiasi servizio di telecomunicazioni ai quali l'avviso si riferisce (344); la fattibilità tecnica del rispetto dell'avviso; il costo probabile del rispetto dell'avviso e qualsiasi altro effetto dell'avviso sull'operatore di telecomunicazioni (o sulla descrizione degli operatori) a cui si riferisce (345). Come dettagliato ulteriormente nel capitolo 17 del codice di pratica sui dati relativi alle comunicazioni, tutti gli avvisi di conservazione devono specificare ciascun tipo di dati che deve essere conservato e in che modo tale tipo di dati soddisfa le verifiche necessarie per la conservazione.

(209)

In tutti i casi (a fini sia di sicurezza nazionale che di contrasto) la decisione del segretario di Stato di emettere l'avviso di conservazione deve essere approvata da un commissario giudiziario indipendente, secondo la cosiddetta «procedura a doppia verifica», che deve verificare in particolare se l'avviso di conservazione dei dati relativi alle comunicazioni sia necessario e proporzionato per uno o più dei fini previsti dalla legge (346).

(210)

L'ingerenza in apparecchiature è costituita da una serie di tecniche utilizzate per ottenere una varietà di dati da apparecchiature (347), che comprendono computer, tablet e smartphone, nonché cavi, fili e dispositivi di conservazione (348). L'ingerenza in apparecchiature consente di ottenere tanto il contenuto delle comunicazioni quanto i dati sulle apparecchiature (349).

(211)

Conformemente alla sezione 13, paragrafo 1, della legge del 2016 sui poteri di indagine, l'utilizzo dell'ingerenza in apparecchiature da parte di un servizio di intelligence richiede un'autorizzazione mediante un mandato nel contesto della procedura «a doppia verifica» stabilita dalla legge del 2016 sui poteri di indagine, a condizione che vi sia «un collegamento con le isole britanniche» (350). Secondo le spiegazioni fornite dalle autorità del Regno Unito, in situazioni nelle quali i dati vengono trasferiti dall'Unione europea verso il Regno Unito nell'ambito di applicazione della presente decisione, ci sarebbe sempre un «collegamento con le isole britanniche» e qualsiasi ingerenza in apparecchiature concernente tali dati sarebbe pertanto soggetta al requisito obbligatorio di disporre di un mandato di cui alla sezione 13, paragrafo 1, della legge del 2016 sui poteri di indagine (351).

(212)

Le norme in materia di mandati di ingerenza mirata in apparecchiature sono stabilite nella parte 5 della legge del 2016 sui poteri di indagine. Analogamente a quanto avviene per l'intercettazione mirata, l'ingerenza mirata in apparecchiature deve riguardare un «obiettivo» specifico, che deve essere definito nel mandato (352). I dettagli in merito alle modalità di individuazione dell'«obiettivo» dipendono dalla questione e dal tipo di apparecchiature da sottoporre a ingerenza. In particolare la sezione 115, paragrafo 3, della legge sui poteri di indagine specifica gli elementi che dovrebbero essere inclusi nel mandato (ad esempio nome della persona o dell'organizzazione, descrizione della posizione), a seconda dell'esempio sull'eventualità che l'ingerenza riguardi un'apparecchiatura che appartiene a o è in possesso di una persona in particolare o un'organizzazione o di un gruppo di persone in particolare, si trova presso un'ubicazione specifica, ecc. (353). Le finalità per le quali è possibile emettere mandati di ingerenza mirata in apparecchiature dipendono dall'autorità pubblica che ne fa domanda (354).

(213)

Analogamente a quanto avviene per l'intercettazione mirata, l'autorità emittente deve considerare se la misura è necessaria per il conseguimento di una finalità specifica e se è proporzionata a ciò che si intende conseguire (355). Inoltre dovrebbe considerare altresì se esistono garanzie in relazione alla sicurezza, alla conservazione e alla comunicazione, anche in relazione alla «comunicazione all'estero» (356) (cfr. considerando 196).

(214)

Il mandato deve essere approvato da un commissario giudiziario, fatta eccezione per i casi di urgenza (357). In quest'ultimo caso occorre informare un commissario giudiziario che è stato emesso un mandato e che deve approvarlo entro tre giorni lavorativi. Nel caso in cui il commissario giudiziario si rifiuti di approvarlo, il mandato cessa di avere effetto e non può essere rinnovato (358). Inoltre, il commissario giudiziario ha il potere di esigere la cancellazione di tutti i dati ottenuti in virtù del mandato (359). Il fatto che un mandato sia stato emesso d'urgenza non incide sulla vigilanza ex post (cfr. considerando da 244 a 255) o sulla possibilità per le persone fisiche di avvalersi dei mezzi di ricorso (cfr. considerando da 260 a 270). Le persone fisiche possono presentare reclamo presso l'ICO o contestare qualsiasi presunto comportamento dinanzi l'Investigatory Powers Tribunal secondo le modalità abituali. In tutti i casi la verifica applicata dal commissario giudiziario nel decidere se approvare o meno un mandato è la verifica della necessità e della proporzionalità applicabile alle richieste di intercettazione mirata (360) (cfr. considerando 192).

(215)

Infine le garanzie specifiche applicabili all'intercettazione mirata si applicano anche all'ingerenza in apparecchiature per quanto concerne la durata, il rinnovo e la modifica del mandato nonché l'intercettazione di membri del parlamento, di materiale coperto da segreto professionale e di materiale giornalistico (cfr. ulteriori dettagli di cui al considerando 193).

(216)

I poteri massivi sono regolamentati nella parte 6 della legge del 2016 sui poteri di indagine. Inoltre i codici di pratica prevedono maggiori dettagli sull'uso di poteri massivi. Sebbene nel diritto del Regno Unito non vi sia alcuna definizione del termine «bulk power» (potere massivo), nel contesto della legge del 2016 sui poteri di indagine tale concetto è stato descritto come la raccolta e la conservazione di grandi quantitativi di dati acquisiti dal governo attraverso vari mezzi (ossia i poteri di intercettazione massiva, di acquisizione massiva, di ingerenza massiva in apparecchiature e di serie massive di dati personali), ai quali le autorità possono successivamente accedere. Tale descrizione è chiarita mediante confronto con ciò che non si intende per «bulk power»: non equivale alla cosiddetta «sorveglianza di massa» senza limitazioni o garanzie. Al contrario, come spiegato di seguito, integra le limitazioni e le garanzie progettate per assicurare che l'accesso ai dati non venga fornito in maniera indiscriminata o ingiustificata (361). In particolare è possibile esercitare i poteri massivi soltanto se si stabilisce un collegamento tra la misura tecnica che un'organizzazione di intelligence nazionale intende utilizzare e l'obiettivo operativo per il quale tale misura viene richiesta.

(217)

Inoltre i poteri massivi sono disponibili soltanto alle agenzie di intelligence e sono sempre soggetti a un mandato rilasciato dal segretario di Stato e approvato da un commissario giudiziario. Nella scelta dei mezzi per raccogliere intelligence, occorre valutare se l'obiettivo in questione possa essere perseguito ricorrendo a «mezzi meno intrusivi» (362). Tale approccio deriva dal quadro della legislazione che si fonda sul principio di proporzionalità e dà quindi priorità alla raccolta mirata piuttosto che a quella massiva.

(218)

Il regime per l'intercettazione massiva è definito nella parte 6, capo 1, della legge del 2016 sui poteri di indagine, mentre il capo 3 della medesima parte regolamenta l'ingerenza massiva in apparecchiature. Poiché tali regimi sono sostanzialmente uguali, le condizioni e le garanzie supplementari applicabili a tali mandati vengono analizzate congiuntamente.

(219)

Il mandato di intercettazione massiva è limitato all'intercettazione di comunicazioni nel corso della loro trasmissione da o verso persone fisiche al di fuori delle isole britanniche (363), le cosiddette «comunicazioni relative all'estero» (364), e di altri dati pertinenti e alla successiva selezione per esame del materiale intercettato (365). Il mandato di ingerenza massiva in apparecchiature (366) autorizza il destinatario ad effettuare ingerenze in qualsiasi apparecchiatura al fine di ottenere comunicazioni relative all'estero (in qualsiasi loro aspetto: parlato, musica, suoni, immagini visive o dati di qualsiasi descrizione), dati relativi alle apparecchiature (dati che abilitano o facilitano il funzionamento di un servizio postale; di un sistema di telecomunicazioni; di un servizio di telecomunicazioni) o qualsiasi altra informazione (367).

(220)

Il segretario di Stato può emettere un mandato massivo soltanto a fronte di una domanda presentata da un capo di un servizio di intelligence (368). Un mandato che autorizza un'intercettazione massiva o un'ingerenza massiva in apparecchiature deve essere rilasciato soltanto se necessario nell'interesse della sicurezza nazionale e per l'ulteriore finalità di prevenire o accertare reati gravi oppure nell'interesse del benessere economico del Regno Unito laddove pertinente per la sicurezza nazionale (369). L'articolo 142, paragrafo 7, della legge del 2016 sui poteri di indagine richiede inoltre che un mandato di intercettazione massiva sia specificato in modo più preciso rispetto a un semplice riferimento agli «interessi di sicurezza nazionale», al «benessere economico del Regno Unito» e alla «prevenzione e al contrasto di reati gravi»; deve infatti essere stabilito un collegamento tra la misura richiesta e una o più finalità operative che devono essere incluse nel mandato.

(221)

La scelta della finalità operativa è il risultato di un processo a più livelli. L'articolo 142, paragrafo 4, prevede che le finalità operative indicate nel mandato debbano essere specificate in un elenco gestito dai capi dei servizi di intelligence ed essere considerate da questi ultimi finalità operative per le quali i contenuti intercettati o i dati secondari ottenuti in forza di mandati di intercettazione massiva possono essere selezionati per l'esame. L'elenco delle finalità operative deve essere approvato dal segretario di Stato. Il segretario di Stato può fornire tale approvazione soltanto se si è accertato del fatto che la finalità operativa è specificata con un maggiore livello di dettaglio rispetto ai motivi generali per l'autorizzazione del mandato (sicurezza nazionale o sicurezza nazionale e benessere economico o prevenzione di reati gravi) (370). Al termine di ciascun periodo di tre mesi pertinente, il segretario di Stato deve fornire una copia dell'elenco delle finalità operative all'Intelligence and Security Committee (ISC, commissione sui servizi di intelligence e sicurezza) del parlamento. Infine il primo ministro deve riesaminare l'elenco delle finalità operative almeno una volta l'anno (371). Come osservato dall'Alta Corte, «[n]on devono essere sminuite come garanzie insignificanti, dato che congiuntamente costituiscono un insieme complesso di modalità di responsabilizzazione, che coinvolge il parlamento e membri del governo di livello più elevato» (372).

(222)

Tali finalità operative limitano altresì l'ambito di applicazione della selezione del materiale di intercettazione per la fase di esame. La selezione per l'esame del materiale raccolto ai sensi di un mandato massivo deve essere giustificata alla luce della o delle finalità operative. Come spiegato dalle autorità del Regno Unito, ciò significa che le modalità pratiche concernenti l'esame devono essere valutate dal segretario di Stato già nella fase di rilascio del mandato, fornendo dettagli sufficienti per il soddisfacimento degli obblighi stabiliti dalla legge ai sensi degli articoli 152 e 193 della legge del 2016 sui poteri di indagine (373). I dettagli forniti al segretario di Stato in relazione a tali modalità pratiche dovrebbero comprendere ad esempio, informazioni (se applicabili) sulle modalità di filtraggio che potrebbero variare nel corso della durata dell'efficacia di un mandato (374). Per ulteriori dettagli sul processo e sulle garanzie applicati alle fasi di filtraggio ed esame, cfr. considerando 229 .

(223)

L'esercizio di un potere massivo può essere autorizzato soltanto se è proporzionato a ciò che si vuole conseguire (375). Come specificato nel codice di pratica sull'intercettazione, qualsiasi valutazione della proporzionalità implica un «raffronto per definire l'equilibrio tra la gravità dell'intrusione nella vita privata (e altre considerazioni di cui alla sezione 2, paragrafo 2) e la necessità dell'attività in termini investigativi, operativi o di capacità. La condotta autorizzata dovrebbe offrire una prospettiva realistica di apportare il beneficio previsto e non dovrebbe essere sproporzionata o arbitraria» (376). Come già menzionato, nella pratica ciò significa che la verifica della proporzionalità si basa su una verifica del bilanciamento tra ciò che si vuole conseguire («finalità operativa/e») e le opzioni tecniche disponibili (ad esempio intercettazione, ingerenza in apparecchiature, acquisizione di dati relativi alle comunicazioni mirate o massive), dando preferenza ai mezzi meno intrusivi (cfr. considerando 181 e 182). Laddove più di una misura sia adeguata per l'obiettivo, occorre preferire i mezzi meno intrusivi.

(224)

Un'ulteriore garanzia in merito alla valutazione della proporzionalità della misura richiesta è assicurata dal fatto che il segretario di Stato deve ricevere le informazioni pertinenti necessarie per effettuare correttamente la sua valutazione. In particolare il codice di pratica sull'intercettazione e il codice di pratica sull'ingerenza in apparecchiature richiedono che la domanda presentata dall'autorità competente debba menzionare il contesto della domanda, la descrizione delle comunicazioni da intercettare e gli operatori di telecomunicazioni tenuti a fornire assistenza, la descrizione della condotta da autorizzare, le finalità operative e una spiegazione sul motivo per cui tale condotta è necessaria e proporzionata (377).

(225)

Infine, e soprattutto, la decisione del segretario di Stato di emettere il mandato deve essere approvata da un commissario giudiziario indipendente che esamina la valutazione della necessità e della proporzionalità della misura proposta, utilizzando gli stessi principi che verrebbero utilizzati da un organo giurisdizionale nel contesto di una domanda di controllo giurisdizionale (378). Più specificatamente, il commissario giudiziario riesaminerà le conclusioni del segretario di Stato in merito all'eventualità o meno che il mandato sia necessario e che la condotta sia proporzionata alla luce dei principi di cui alla sezione 2, paragrafo 2, della legge del 2016 sui poteri di indagine (obblighi generali in relazione alla tutela della vita privata). Il commissario giudiziario esaminerà le conclusioni del segretario di Stato anche al fine di stabilire se ciascuna delle finalità operative specificate nel mandato costituisca o meno una finalità per la quale una selezione è, o potrebbe essere, necessaria. Se il commissario giudiziario si rifiuta di approvare la decisione di emettere un mandato, il segretario di Stato può: i) accettare la decisione e quindi non emettere il mandato; o ii) deferire la questione all'Investigatory Powers Commissioner affinché si pronunci in merito (fatto salvo il caso in cui sia quest'ultimo ad aver pronunciato la decisione originale) (379).

(226)

La legge del 2016 sui poteri di indagine ha introdotto ulteriori limiti alla durata, al rinnovo e alla modifica di un mandato massivo. Il mandato deve avere una durata massima di sei mesi e qualsiasi decisione di rinnovo o modifica (fatta eccezione per modifiche minori) del mandato deve essere approvata anche da un commissario giudiziario (380). Il codice di pratica sull'intercettazione e il codice di pratica sull'ingerenza in apparecchiature hanno specificato che una variazione delle finalità operative del mandato è considerata una modifica importante del mandato (381).

(227)

Analogamente a quanto previsto per l'intercettazione mirata, la parte 6 della legge del 2016 sui poteri di indagine prevede che il segretario di Stato debba assicurare che siano in atto dispositivi destinati a fornire garanzie in merito alla conservazione e alla comunicazione di materiali ottenuti ai sensi del mandato (382),.così come per la comunicazione all'estero (383). In particolare la sezione 150, paragrafo 5 e la sezione 191, paragrafo 5, della legge del 2016 sui poteri di indagine richiedono che ogni copia fatta di uno qualsiasi di tali materiali raccolti nel quadro del mandato sia conservata in maniera sicura e venga distrutta non appena non sussistono più i motivi pertinenti per la sua conservazione; mentre la sezione 150, paragrafo 2, e la sezione 191, paragrafo 2, paragrafo 2, della legge del 2016 sui poteri di indagine richiedono che il numero di persone destinatarie della comunicazione, della messa a disposizione o della copia di qualsiasi materiale debba essere limitato al minimo necessario per le finalità di legge (384).

(228)

Infine quando il materiale che è stato intercettato mediante un'intercettazione massiva o un'ingerenza massiva in apparecchiature deve essere consegnato a un paese terzo («comunicazioni all'estero»), la legge del 2016 sui poteri di indagine prevede che il segretario di Stato debba garantire che siano in atto dispositivi adeguati per assicurare che esistano garanzie analoghe in termini di sicurezza, conservazione e comunicazione in tale paese terzo (385). Inoltre, la sezione 109, della legge del 2018 sulla protezione dei dati prevede requisiti specifici per i trasferimenti internazionali di dati personali da parte dei servizi di intelligence verso paesi terzi o organizzazioni internazionali, e non consente che i dati siano trasferiti verso un paese o territorio al di fuori del Regno Unito o verso un'organizzazione internazionale, fatto salvo il caso in cui il trasferimento sia necessario e proporzionato per l'esercizio delle funzioni statutarie del titolare del trattamento o per altre finalità previste dalla sezione 2, paragrafo 2, lettera a), della legge del 1989 sul servizio di sicurezza o dalla sezione 2, paragrafo 2, lettera a), e dalla sezione 4, paragrafo 2, lettera a), della legge del 1994 sui servizi di intelligence (386). È importante sottolineare che tali requisiti si applicano anche nei casi in cui è invocata l'esenzione per motivi di sicurezza nazionale a norma della sezione 110 della legge del 2018 sulla protezione dei dati, in quanto detta sezione non elenca la sezione 109 della medesima legge come una delle disposizioni che possono essere disapplicate se è richiesta un'esenzione rispetto a determinate disposizioni al fine di salvaguardare la sicurezza nazionale.

(229)

Una volta che il mandato è stato approvato e i dati sono stati raccolti in massa, i dati saranno soggetti a una selezione prima di essere esaminati. La fase di selezione ed esame è soggetta ad un'ulteriore verifica della proporzionalità effettuata dall'analista che, sulla base delle finalità operative incluse nel mandato (e di modalità di filtraggio eventualmente esistenti), definisce i criteri per la selezione. Come previsto dagli articoli 152 e 193 della legge sui poteri di indagine, al momento del rilascio del mandato, il segretario di Stato deve assicurare che siano in atto dispositivi destinati a garantire che la selezione del materiale sia effettuata soltanto per le finalità operative specificate e che sia necessaria e proporzionata in tutte le circostanze. A tale riguardo le autorità del Regno Unito hanno chiarito che il materiale intercettato in massa viene selezionato, innanzitutto, tramite un filtro automatizzato con l'obiettivo di scartare i dati che è improbabile siano di interesse per la sicurezza nazionale. I filtri variano di volta in volta (come cambiano i modelli, i tipi e i protocolli di traffico internet) e dipenderanno dalla tecnologia e dal contesto operativo. Dopo questa fase i dati possono essere selezionati per l'esame soltanto se pertinenti per le finalità operative specificate nel mandato (387). Le garanzie previste dalla legge del 2016 sui poteri di indagine per l'esame del materiale raccolto si applicano a qualsiasi tipo di dati (contenuto intercettato e dati secondari) (388). Gli articoli 152 e 193 della legge del 2016 sui poteri di indagine prevedono inoltre un divieto generale di selezionare per l'esame materiale riferibile a conversazioni inviate da o destinate a persone fisiche che si trovano nelle isole britanniche. Se desiderano esaminare tale materiale, le autorità devono presentare una richiesta di mandato di esame mirato ai sensi della parte 2 e della parte 4 della legge del 2016 sui poteri di indagine, rilasciato dal segretario di Stato e approvato da un commissario giudiziario (389). Se una persona seleziona deliberatamente il contenuto intercettato per l'esame in violazione dei requisiti stabiliti dalla legge (390) commette un reato (391).

(230)

La valutazione effettuata dall'analista per la selezione del materiale è soggetta a una vigilanza ex post da parte dell'Investigatory Powers Commissioner, che valuta la conformità rispetto alle garanzie specifiche stabilite nella legge del 2016 sui poteri di indagine per la fase di esame (392) (cfr. anche il considerando 229). L'Investigatory Powers Commissioner deve mantenere sotto esame (anche mediante audit, ispezione e indagine) l'esercizio da parte delle autorità pubbliche dei poteri di indagine menzionati nella legge del 2016 sui poteri di indagine (393). A tale riguardo il codice di pratica sull'intercettazione e il codice di pratica sull'ingerenza in apparecchiature chiariscono che l'agenzia deve conservare registri ai fini dell'esame e di audit successivi, e che tali registri devono descrivere il motivo per cui l'accesso ai materiali da parte di persone autorizzate è necessario e proporzionato nonché le finalità operative applicabili (394). Nella sua relazione annuale del 2018, l'Investigatory Powers Commissioner Office (IPCO) (395) ha concluso che le giustificazioni registrate dagli analisti per l'esame di taluni materiali raccolti massivamente soddisfacevano il livello richiesto di proporzionalità, fornendo dettagli sufficienti circa le motivazioni delle loro «interrogazioni» in relazione alla finalità da conseguire (396). Nella relazione del 2019, l'IPCO, in relazione ai poteri massivi, ha espresso chiaramente la propria intenzione di continuare le ispezioni delle intercettazioni massive, compreso un esame dettagliato dei selettori e dei criteri di ricerca (397). Continuerà inoltre a esaminare attentamente, caso per caso, la scelta delle misure di sorveglianza (mirate o massive) sia durante l'esame delle domande di mandato nell'ambito della procedura a doppia verifica sia in occasione delle ispezioni (398). Questo ulteriore monitoraggio sarà preso in debita considerazione nel contesto del monitoraggio della presente decisione da parte della Commissione di cui ai considerando da 281 a 284.

(231)

La parte 6, capo 2, della legge del 2016 sui poteri di indagine regolamenta i mandati per l'acquisizione massiva che autorizzano il destinatario a richiedere a un operatore di telecomunicazioni di comunicare od ottenere qualsiasi dato relativo alle comunicazioni in suo possesso. Tali mandati autorizzano altresì l'autorità richiedente a selezionare i dati per l'ulteriore fase di esame. Come la conservazione mirata e l'acquisizione mirata di dati relativi alle comunicazioni (cfr. considerando 199), anche l'acquisizione massiva di dati relativi alle comunicazioni non riguarda normalmente i dati personali degli interessati dell'UE trasferiti ai sensi della presente decisione verso il Regno Unito. L'obbligo di comunicare dati relativi alle comunicazioni ai sensi della parte 2, capo 6, della legge del 2016 sui poteri di indagine riguarda i dati raccolti da operatori di telecomunicazioni nel Regno Unito direttamente da utenti di un servizio di telecomunicazioni (399). In genere tale tipo di trattamento «rivolto al cliente» non comporta un trasferimento sulla base della presente decisione, ossia un trasferimento da un titolare del trattamento/responsabile del trattamento nell'UE verso un titolare del trattamento/responsabile del trattamento nel Regno Unito.

(232)

Tuttavia, per ragioni di completezza, le condizioni e le garanzie che disciplinano l'acquisizione di dati massivi relativi alle comunicazioni sono descritte in appresso.

(233)

La legge del 2016 sui poteri di indagine sostituisce la legislazione relativa all'acquisizione di dati massivi relativi alle comunicazioni che è stata oggetto della sentenza della Corte di giustizia dell'Unione europea nella causa Privacy International. La legislazione in questione in tale causa è stata abrogata e il nuovo regime prevede le condizioni e le garanzie specifiche in base alle quali tale misura può essere autorizzata.

(234)

In particolare, a differenza di quanto accadeva ai sensi del regime precedente nel contesto del quale il segretario di Stato aveva piena discrezionalità in merito all'autorizzazione della misura (400), la legge del 2016 sui poteri di indagine impone al segretario di Stato di emettere un mandato soltanto se la misura è necessaria e proporzionata. Ciò significa nella pratica che dovrebbe esserci un nesso tra l'accesso ai dati e la finalità perseguita (401). Più specificamente il segretario di Stato dovrà valutare l'esistenza di un collegamento tra la misura richiesta e una o più «finalità operative» indicate nel mandato (cfr. considerando 219). In relazione alla valutazione della proporzionalità, il codice di pratica rilevante specifica che «il segretario di Stato deve tenere conto dell'eventualità o meno che ciò che si vuole conseguire tramite il mandato possa ragionevolmente essere conseguito tramite altri mezzi meno intrusivi (sezione 2, paragrafo 2, lettera a), della legge); ad esempio ottenendo le informazioni richieste attraverso un potere meno intrusivo come l'acquisizione mirata di dati relativi alle comunicazioni» (402).

(235)

Per effettuare tale valutazione il segretario di Stato si baserà sulle informazioni che i capi dei servizi di intelligence (403) sono tenuti a presentare nella loro domanda, come le motivazioni per cui la misura è considerata necessaria per uno dei motivi statutari così come le motivazioni per cui ciò che si vuole conseguire non può essere ragionevolmente conseguito tramite altri mezzi meno intrusivi (404). Inoltre le finalità operative limitano l'ambito di applicazione per il quale i dati ottenuti ai sensi del mandato possono essere selezionati per l'esame (405). Come specificato nel codice di pratica pertinente, le finalità operative devono descrivere un requisito chiaro e contenere un dettaglio sufficiente a convincere il segretario di Stato del fatto che i dati acquisiti possono essere selezionati soltanto per l'esame per motivi specifici (406). In effetti, prima di autorizzare il mandato, il segretario di Stato dovrà assicurarsi che siano in atto dispositivi specifici destinati a garantire che soltanto il materiale ritenuto necessario per l'esame per una finalità operativa e una finalità statutaria sia selezionato per l'esame e che tale materiale sia proporzionato e necessario in tutte le circostanze. Questo specifico requisito, rispecchiato dagli articoli 158 e 172 (407) della legge del 2016 sui poteri di indagine, relativo alla valutazione preventiva della necessità e della proporzionalità dei criteri utilizzati ai fini della selezione rappresenta un'ulteriore importante novità del regime introdotto da tale legge rispetto al regime precedente.

(236)

La legge del 2016 sui poteri di indagine ha inoltre introdotto l'obbligo per il segretario di Stato di assicurarsi, prima dell'emissione del mandato per l'acquisizione massiva di dati relativi alle comunicazioni, che siano in atto limitazioni specifiche concernenti la sicurezza, la conservazione e la comunicazione dei dati personali raccolti (408). In caso di comunicazione all'estero, le garanzie, di cui al considerando 227, per l'intercettazione massiva e l'ingerenza massiva in apparecchiature si applicano anche in questo contesto (409). Ulteriori limitazioni sono fissate nella legislazione in relazione alla durata (410), al rinnovo (411) e alla modifica dei mandati massivi (412).

(237)

È importante sottolineare che, come per gli altri poteri massivi, prima di emettere il mandato il segretario di Stato necessita dell'approvazione da parte di un commissario giudiziario (413). Questa è una caratteristica fondamentale del regime messo in atto dalla legge del 2016 sui poteri di indagine.

(238)

L'Investigatory Powers Commissioner svolge un'attività di vigilanza ex post sulla procedura di esame rispetto ai materiali (dati relativi alle comunicazioni) acquisiti in maniera massiva (cfr. considerando 254). A tale riguardo, la legge del 2016 sui poteri di indagine ha introdotto il requisito che impone all'analista del servizio di intelligence di registrare, prima di selezionare i dati per l'esame, la motivazione per la quale l'esame proposto è necessario e proporzionato per una finalità operativa specificata (414). Nella relazione annuale del 2019 dell'IPCO, in relazione alla pratica attuata dal GCHQ e dall'MI5 è stato constatato che «il ruolo critico dei dati massivi relativi alle comunicazioni per la serie di attività svolte presso il GCHQ è risultato essere ben articolato nella casistica oggetto di ispezione. L'ispezione ha preso in considerazione la natura dei dati richiesti e i requisiti di intelligence dichiarati, e gli ispettori hanno potuto accertare che la documentazione dimostrava che il loro approccio era necessario e proporzionato» (415). Le giustificazioni registrate dall'MI5 erano di buon livello e soddisfacevano i principi di necessità e proporzionalità« (416).

(239)

I mandati per serie massive di dati personali (BPD, Bulk Personal Dataset) (417) autorizzano le agenzie di intelligence a conservare ed esaminare serie di dati che contengono dati personali relativi diverse persone fisiche. Secondo le spiegazioni fornite dalle autorità del Regno Unito, l'analisi di tali serie di dati può essere »l'unico modo per l'UKIC per procedere con le indagini ed individuare terroristi a partire da indizi di intelligence molto limitati oppure quando le loro comunicazioni sono state deliberatamente occultate« (418). Esistono due tipi di mandati: i »class BPD warrants« (419) (mandati BPD di classe) che riguardano una determinata categoria di serie di dati, ossia serie di dati analoghi in termini di contenuto e utilizzo proposto e che sollevano considerazioni analoghe ad esempio in termini di grado di intrusione e sensibilità e di proporzionalità dell'utilizzo dei dati; di conseguenza consentono al segretario di Stato di valutare in un'unica volta la necessità e la proporzionalità dell'acquisizione di tutti i dati rientranti nella classe pertinente. Un mandato BPD di classe può riguardare ad esempio le serie di dati relative ai viaggi concernenti percorsi analoghi (420). Gli «specific BPD warrants» (421) (mandati BPD specifici) riguardano invece una serie di dati specifica, come una serie di dati relativa a un tipo nuovo o insolito di informazioni che non rientrano nell'ambito di applicazione di un mandato BPD di classe esistente o una serie di dati che riguarda tipi specifici di dati personali (422) e quindi richiede garanzie supplementari (423). Le disposizioni della legge del 2016 sui poteri di indagine relative alle serie massive di dati personali consentono l'esame e la conservazione di tali serie di dati soltanto se è necessario e proporzionato farlo (424) e comunque in linea con gli obblighi generali relativi alla tutela della vita privata (425).

(240)

Il potere di emettere un mandato BPD è soggetto alla procedura »a doppia verifica«: la valutazione della necessità e della proporzionalità della misura viene effettuata innanzitutto dal segretario di Stato e successivamente dal commissario giudiziario (426). Il segretario di Stato è tenuto a considerare la natura e l'ambito di applicazione del mandato richiesto, la categoria di dati interessata e il numero di singole serie massive di dati personali che potrebbero rientrare nel tipo specifico di mandato (427). Inoltre, come specificato nel codice di pratica sulla conservazione e sull'utilizzo di serie massive di dati personali da parte dei servizi di intelligence, occorre conservare registri dettagliati che sono altresì soggetti ad audit da parte dell'Investigatory Powers Commissioner (428). La conservazione e l'esame delle serie massive di dati personali al di fuori dei limiti sanciti dalla legge del 2016 sui poteri di indagine è un reato (429).

(241)

I dati personali trattati ai sensi della parte 4 della legge del 2018 sulla protezione dei dati non devono essere trattati in maniera incompatibile con la finalità per la quale sono stati raccolti (430). La legge del 2018 sulla protezione dei dati prevede che il titolare del trattamento possa trattare i dati per un'altra finalità, diversa da quella per la quale i dati sono stati raccolti, quando quest'altra finalità è compatibile con quella originale e a condizione che il titolare del trattamento sia autorizzato dalla legge a trattare tali dati e che il trattamento sia necessario e proporzionato (431). Inoltre la legge del 1989 sul servizio di sicurezza e la legge del 1994 sui servizi di intelligence specificano che i capi delle agenzie di intelligence hanno il compito di garantire che non sia ottenuta o comunicata alcuna informazione fatta eccezione per quanto necessario per il corretto adempimento delle funzioni di agenzia o per altre finalità limitate e specifiche elencate nelle disposizioni pertinenti (432).

(242)

Inoltre la sezione 109 della legge del 2018 sulla protezione dei dati stabilisce requisiti specifici per i trasferimenti internazionali di dati personali da parte dei servizi di intelligence verso paesi terzi od organizzazioni internazionali. Ai sensi di tale disposizione, i dati personali non possono essere trasferiti verso un paese o territorio al di fuori del Regno Unito o verso un'organizzazione internazionale, fatto salvo il caso in cui il trasferimento sia necessario e proporzionato per l'esercizio delle funzioni statutarie del titolare del trattamento o per altre finalità previste dalla sezione 2, paragrafo 2, lettera a), della legge del 1989 sul servizio di sicurezza o dalla sezione 2, paragrafo 2, lettera a), e dalla sezione 4, paragrafo 2, lettera a), della legge del 1994 sui servizi di intelligence (433). È importante sottolineare che tali requisiti si applicano anche nei casi in cui è invocata l'esenzione per motivi di sicurezza nazionale a norma della sezione 110 della legge del 2018 sulla protezione dei dati, in quanto detta sezione non elenca la sezione 109 della medesima legge come una delle disposizioni che possono essere disapplicate se è richiesta un'esenzione rispetto a determinate disposizioni al fine di salvaguardare la sicurezza nazionale.

(243)

Inoltre, come sottolineato dall'ICO negli orientamenti sul trattamento da parte dei servizi di intelligence, oltre alle garanzie previste dalla parte 4 della legge del 2018 sulla protezione dei dati, un'agenzia di intelligence, quando condivide dati con un organismo di intelligence di un paese terzo, è soggetta anche alle garanzie previste da altre misure legislative loro applicabili per garantire che i dati personali siano ottenuti, condivisi e trattati in modo lecito e responsabile (434). Ad esempio, la legge del 2016 sui poteri di indagine stabilisce ulteriori garanzie in relazione ai trasferimenti verso un paese terzo di materiali raccolti attraverso intercettazione mirata (435), ingerenza mirata in apparecchiature (436), intercettazione massiva (437), acquisizione massiva di dati relativi alle comunicazioni (438) e ingerenza massiva in apparecchiature (439) (cosiddette »comunicazioni all'estero«). In particolare l'autorità che rilascia il mandato deve assicurarsi che siano in atto dispositivi destinati a garantire che il paese terzo che riceve i dati limiti al minimo necessario per le finalità di cui alla legge del 2016 sui poteri di indagine il numero di persone che accedono al materiale, la portata della comunicazione e il numero di copie effettuate di qualsiasi materiale (440).

(244)

L'accesso da parte delle pubbliche amministrazioni per finalità di sicurezza nazionale è soggetto a vigilanza ad opera di una serie di organismi diversi. L'Information Commissioner vigila sul trattamento dei dati personali ai sensi della legge del 2018 sulla protezione dei dati (per ulteriori informazioni sull'indipendenza, sulla nomina, sul ruolo e sui poteri di tale commissario cfr. considerando da 85 a 98); la vigilanza indipendente e giudiziaria sull'utilizzo dei poteri di indagine ai sensi della legge del 2016 sui poteri di indagine spetta invece all'Investigatory Powers Commissioner. L'Investigatory Powers Commissioner vigila sull'utilizzo dei poteri di indagine di cui alla legge del 2016 sui poteri di indagine da parte delle autorità di contrasto e di sicurezza nazionale. La vigilanza a livello politico è garantita dall'Intelligence Service Committee (commissione dei servizi di intelligence) del parlamento.

(245)

Il trattamento dei dati personali svolto dai servizi di intelligence ai sensi della parte 4 della legge del 2018 sulla protezione dei dati è oggetto di vigilanza da parte dell'Information Commissioner (441).

(246)

Le funzioni generali dell'Information Commissioner in relazione al trattamento dei dati personali da parte di servizi di intelligence ai sensi della parte 4 della legge del 2018 sulla protezione dei dati sono stabilite nell'allegato 13 di tale legge. Tra tali compiti figurano, a titolo esemplificativo ma non esaustivo, il controllo e l'assicurazione del rispetto delle norme di cui alla parte 4 della legge del 2018 sulla protezione dei dati, la promozione della sensibilizzazione del pubblico, attività di consulenza a favore del parlamento, del governo e di altre istituzioni in merito a misure legislative e amministrative, la promozione della consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo ai loro obblighi, l'erogazione di informazioni a un interessato sull'esercizio dei suoi diritti, lo svolgimento di indagini, ecc.

(247)

Per quanto concerne la parte 3 della legge del 2018 sulla protezione dei dati, l'Information Commissioner ha il potere di notificare ai titolari del trattamento una presunta violazione, emettere avvertimenti in merito al fatto che è probabile che un trattamento violi le norme e emettere ammonimenti quando la violazione è confermata. Può inoltre emettere avvisi di esecuzione e di irrogazione di sanzioni per violazioni di determinate disposizioni della legge (442). Tuttavia, contrariamente a quanto previsto per altre parti della legge del 2018 sulla protezione dei dati, l'Information Commissioner non può rivolgere un avviso di valutazione a un organismo di sicurezza nazionale (443).

(248)

Inoltre la sezione 110 della legge del 2018 sulla protezione dei dati prevede un'eccezione all'utilizzo di determinati poteri da parte dell'Information Commissioner quando ciò è necessario al fine di proteggere la sicurezza nazionale. Ciò riguarda tra l'altro il potere dell'Information Commissioner di emettere (qualsiasi tipo di) avvisi ai sensi della legge sulla protezione dei dati (avvisi di informazione, di valutazione, di esecuzione e di irrogazione di sanzioni), il potere di effettuare ispezioni in conformità con gli obblighi internazionali, i poteri di accesso e di ispezione e le norme in materia di reati (444). Come spiegato al considerando 126, tali eccezioni saranno applicate soltanto se necessario e proporzionato e su base individuale.

(249)

L'ICO e i servizi di intelligence del Regno Unito hanno firmato un protocollo d'intesa (445) che stabilisce un quadro per la cooperazione su una serie di questioni, comprese le notifiche di violazioni dei dati e la gestione dei reclami degli interessati. In particolare tale protocollo prevede che, quando riceve un reclamo, l'ICO valuti che la domanda di qualsiasi esenzione per motivi di sicurezza nazionale sia stata utilizzata in maniera adeguata. Le risposte alle domande poste dall'ICO nel contesto dell'esame di singoli reclami devono essere fornite entro 20 giorni lavorativi dall'agenzia di sicurezza nazionale interessata, utilizzando canali sicuri adeguati laddove la questione riguardi informazioni classificate. Da aprile 2018 ad oggi l'ICO ha ricevuto 21 reclami da persone fisiche in relazione ai servizi di intelligence. Ogni reclamo è stato valutato e l'esito è stato comunicato all'interessato (446).

(250)

Ai sensi della parte 8 della legge del 2016 sui poteri di indagine, la vigilanza sull'utilizzo dei poteri di indagine è esercitata dall'Investigatory Powers Commissioner (IPC). L'Investigatory Powers Commissioner è assistito da altri commissari giudiziari, che sono collettivamente denominati commissari giudiziari (447). La legge del 2016 sui poteri di indagine fissa le garanzie per la tutela dell'indipendenza dei commissari giudiziari. I commissari giudiziari devono rivestire, o aver rivestito, un incarico giudiziario di alto livello (ossia devono essere, o essere stati, membri delle più alte corti) (448), e, come ogni membro della magistratura, godono di uno status indipendente dal governo (449). Ai sensi della sezione 227 della legge del 2016 sui poteri di indagine, è il primo ministro a nominare l'Investigatory Powers Commissioner e il numero di commissari giudiziari che ritiene necessario. Tutti i commissari, siano essi membri attuali o ex membri della magistratura, possono essere nominati solo sulla base di una raccomandazione comune dei tre Giudici capo di Inghilterra e Galles, Scozia e Irlanda del Nord e del Lord Cancelliere (450). Il segretario di Stato deve fornire all'Investigatory Powers Commissioner personale, locali, apparecchiature e altre strutture e servizi (451). Il mandato dei commissari ha una durata di tre anni e i commissari possono essere rinominati (452). Ad ulteriore garanzia della loro indipendenza, la nomina a commissario giudiziario può essere revocata soltanto a condizioni rigorose che impongono una soglia elevata: dal primo ministro in circostanze specifiche elencate in maniera esaustiva alla sezione 228, paragrafo 5, della legge del 2016 sui poteri di indagine (quali il fallimento o l'incarcerazione) oppure qualora sia emessa una risoluzione che approva tale revoca da ciascuna camera del parlamento (453).

(251)

L'Investigatory Powers Commissioner e i commissari giudiziari sono sostenuti nei loro ruoli dall'Investigatory Powers Commissioner's Office (IPCO). Il personale dell'IPCO comprende un gruppo di ispettori, esperti giuridici e tecnici interni e un comitato consultivo sulle tecnologie incaricato di fornire consulenza di esperti. Come per i singoli commissari giudiziari, l'indipendenza dell'IPCO è tutelata. L'IPCO è un »organismo indipendente« del ministero dell'Interno, ossia riceve finanziamenti da quest'ultimo ma svolge le proprie funzioni in maniera indipendente (454).

(252)

Le principali funzioni dei commissari giudiziari sono definite dalla sezione 229 della legge del 2016 sui poteri di indagine (455). In particolare i commissari giudiziari dispongono di un ampio potere di approvazione preventiva, che rientra nel contesto delle garanzie introdotte nel quadro giuridico del Regno Unito con la legge del 2016 sui poteri di indagine. I mandati in relazione all'intercettazione mirata, all'ingerenza in apparecchiature, alle serie massive di dati personali, all'acquisizione massiva di dati relativi alle comunicazioni così come gli avvisi di conservazione per i dati relativi alle comunicazioni devono tutti essere approvati da commissari giudiziari (456). L'Investigatory Powers Commissioner deve inoltre preautorizzare l'acquisizione di dati relativi alle comunicazioni per finalità di contrasto (457). Se un commissario rifiuta di approvare un mandato, il segretario di Stato può presentare ricorso presso l'Investigatory Powers Commissioner, la cui decisione è definitiva.

(253)

Il relatore speciale delle Nazioni Unite sul diritto alla tutela della vita privata ha accolto con molto favore l'istituzione dei commissari giudiziari da parte della legge del 2016 sui poteri di indagine, in quanto »tutte le richieste più sensibili o intrusive di svolgere attività di sorveglianza devono essere autorizzate tanto da un ministro del gabinetto quanto dall'IPCO«. In particolare il relatore speciale ha sottolineato che »tale aspetto di controllo giurisdizionale [attraverso il ruolo dell'Investigatory Powers Commissioner] assistito da un gruppo di ispettori esperti ed esperti tecnologici, dotato di risorse migliori, costituisce una delle nuove garanzie più significative introdotte dalla legge sui poteri di indagine«, che ha sostituito un sistema precedentemente frammentato di autorità di vigilanza e che integra il ruolo dell'Intelligence and Security Committee (ISC, commissione per l'intelligence e la sicurezza) del parlamento e dell'Investigatory Powers Tribunal» (458).

(254)

Inoltre l'Investigatory Powers Commissioner dispone di poteri per effettuare una vigilanza ex post (anche mediante audit, ispezione e indagine) dell'utilizzo dei poteri di indagine ai sensi della legge del 2016 sui poteri di indagine (459) e di alcuni altri poteri e di alcune altre funzioni previste nella legislazione pertinente (460). I risultati di tale vigilanza ex post sono compresi nella relazione che l'Investigatory Powers Commissioner deve preparare annualmente e presentare al primo ministro (461) e che deve essere pubblicata e presentata al parlamento (462). La relazione contiene statistiche e informazioni pertinenti sull'utilizzo dei poteri di indagine da parte delle agenzie di intelligence e delle autorità di contrasto nonché dell'impiego di garanzie in relazione a materiale coperto da segreto professionale, materiale giornalistico riservato e fonti di informazione giornalistica riservate, informazioni sugli accordi presi e sulle finalità operative utilizzate nel contesto dei mandati massivi. Infine, nella relazione annuale dell'IPCO, è specificato in quale settore sono state formulate raccomandazioni indirizzate alle autorità pubbliche e in che modo tali raccomandazioni sono state affrontate (463).

(255)

Conformemente alla sezione 231 della legge del 2016 sui poteri di indagine, se l'Investigatory Powers Commissioner viene a conoscenza di qualsiasi errore pertinente commesso da autorità pubbliche nell'utilizzo dei loro poteri di indagine, deve informare la persona interessata laddove ritenga che l'errore sia grave e sia nell'interesse pubblico informare tale persona (464). In particolare la sezione 231 della legge del 2016 sui poteri di indagine specifica che, quando informa una persona di un errore, l'Investigatory Powers Commissioner deve fornire informazioni in merito a qualsiasi diritto spettante a tale persona di adire l'Investigatory Powers Tribunal, nonché fornire i dettagli che ritenga necessari per l'esercizio di tali diritti e indicare l'esistenza di un interesse pubblico per la comunicazione (465).

(256)

La vigilanza parlamentare da parte della commissione per l'intelligence e la sicurezza (ISC) ha le sue basi giuridiche nella Justice and Security Act 2013 (JSA 2013, legge del 2013 sulla giustizia e sulla sicurezza) (466). Tale legge istituisce l'ISC come commissione del parlamento del Regno Unito. Dal 2013 all'ISC sono stati conferiti maggiori poteri, compresa la vigilanza sulle attività operative dei servizi di sicurezza. Conformemente alla sezione 2 della legge del 2013 sulla giustizia e sulla sicurezza, l'ISC ha il compito di vigilare sulla spesa, sull'amministrazione, sulla politica e sulle operazioni delle agenzie di sicurezza nazionale. Tale legge specifica che l'ISC può condurre indagini in merito a questioni operative quando queste non si riferiscono ad operazioni in corso (467). Il protocollo d'intesa concordato tra il primo ministro e l'ISC (468) specifica in maniera dettagliata gli elementi da prendere in considerazione quando si valuta se un'attività non fa parte di alcuna operazione in corso (469). L'ISC può inoltre essere invitato a indagare in merito a operazioni in corso da parte del primo ministro e può esaminare le informazioni fornite volontariamente dalle agenzie.

(257)

Ai sensi dell'allegato 1 della legge del 2013 sulla giustizia e sulla sicurezza l'ISC può chiedere ai capi di uno qualsiasi dei tre servizi di intelligence di rivelare qualsiasi informazione. L'agenzia deve rendere disponibili tali informazioni, fatto salvo il caso in cui il segretario di Stato ponga un veto (470). Secondo le spiegazioni fornite dalle autorità del Regno Unito, nella pratica sono rarissime le informazioni che non vengono divulgate dall'ISC (471).

(258)

L'ISC è costituita da membri appartenenti a una camera del parlamento e nominati dal primo ministro in seguito a consultazione del leader dell'opposizione (472). L'ISC è tenuto a presentare una relazione annuale al parlamento in merito all'adempimento delle sue funzioni così come altre relazioni che ritiene adeguate (473). Inoltre l'ISC ha il diritto di ricevere ogni tre mesi l'elenco delle finalità operative utilizzate per esaminare il materiale ottenuto da attività massive (474). Copie di indagini, ispezioni o audit dell'Investigatory Powers Commissioner sono condivise con l'ISC dal primo ministro laddove la questione trattata nelle relazioni sia pertinente per le competenze statutarie della commissione (475). Infine la commissione può chiedere all'Investigatory Powers Commissioner di svolgere un'indagine e quest'ultimo deve informare l'ISC della decisione in merito all'eventualità o meno di svolgere tale indagine (476).

(259)

L'ISC ha inoltre fornito contributi al progetto di legge del 2016 sui poteri di indagine, che ha portato a una serie di modifiche attualmente rispecchiate in tale legge (477). In particolare l'ISC ha raccomandato il rafforzamento delle protezioni in materia di tutela della vita privata introducendo una serie di protezioni a tale riguardo che si applicano all'insieme dei poteri di indagine (478). Ha inoltre suggerito modifiche delle capacità proposte per quanto riguarda l'ingerenza in apparecchiature, le serie massive di dati personali e i dati relativi alle comunicazioni, e ha richiesto altre modifiche specifiche per rafforzare le limitazioni e le garanzie per l'utilizzo di poteri di indagine (479).

(260)

Nel settore dell'accesso da parte delle pubbliche amministrazioni per finalità di sicurezza nazionale, l'interessato deve disporre della possibilità di esperire mezzi di ricorso dinanzi a un giudice indipendente e imparziale al fine di avere accesso ai dati personali che lo riguardano o di ottenerne la rettifica o la soppressione (480). Tale organo giudiziario deve in particolare disporre del potere per adottare decisioni vincolanti sul servizio di intelligence (481). Nel Regno Unito, come spiegato nei considerando da 261 a 271, diversi mezzi di ricorso giurisdizionale offrono agli interessati la possibilità di perseguire e ottenere tali rimedi.

(261)

Ai sensi della sezione 165 della legge del 2018 sulla protezione dei dati, l'interessato ha il diritto di proporre reclamo presso l'Information Commissioner qualora ritenga che, in relazione ai dati personali che lo riguardano, sia stata commessa una violazione della parte 4 della legge del 2018 sulla protezione dei dati. L'Information Commissioner ha il potere di valutare il rispetto della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento e del responsabile del trattamento, e di richiedere loro di adottare le misure necessarie. Ai sensi della parte 4 della legge del 2018 sulla protezione dei dati, le persone fisiche hanno altresì il diritto di adire l'Alta Corte (o la Court of Session in Scozia) per ottenere l'emissione di un'ordinanza che imponga al titolare del trattamento di rispettare i diritti di accesso ai dati (482), di opposizione al trattamento (483) e di rettifica o cancellazione (484).

(262)

Le persone fisiche hanno altresì il diritto di richiedere un risarcimento dei danni subiti a causa di una violazione in relazione a un requisito di cui alla parte 4 della legge del 2018 sulla protezione dei dati da parte del titolare del trattamento o di un responsabile del trattamento (485). Tali danni comprendono tanto la perdita finanziaria quanto danni che non contemplano una perdita finanziaria, quali ad esempio la sofferenza (486).

(263)

Le persone fisiche possono ottenere riparazione per violazioni della legge del 2016 sui poteri di indagine adendo l'Investigatory Powers Tribunal (organo giurisdizionale competente per i poteri di indagine).

(264)

L'Investigatory Powers Tribunal è stato istituito dalla RIPA 2000 ed è indipendente dal potere esecutivo (487). Conformemente alla sezione 65 della RIPA 2000, i membri di tale organo giurisdizionale sono nominati dalla Regina per un mandato di cinque anni. L'incarico di un membro di detto organo giurisdizionale può essere revocato dalla Regina su raccomandazione (488) presentata da entrambe le camere del parlamento (489).

(265)

Ai sensi della sezione 65 della legge della RIPA 2000, tale organo giurisdizionale è competente a pronunciarsi sui reclami promossi da chiunque si ritenga leso da un comportamento nell'ambito della legge del 2016 sui poteri di indagine o della RIPA 2000 o da una condotta dei servizi di intelligence (490).

(266)

Al fine di promuovere un'azione dinanzi l'Investigatory Powers Tribunal («requisito sulla legittimazione»), a norma della sezione 65 della RIPA 2000, una persona fisica deve ritenere (491) che la condotta di un servizio di intelligence sia stata adottata in relazione alla sua persona, ai suoi beni, alle comunicazioni che essa ha inviato o ricevuto, o al suo utilizzo di un servizio postale, di un servizio di telecomunicazioni o di un sistema di telecomunicazioni (492). Inoltre il reclamante deve ritenere che la condotta abbia avuto luogo in «circostanze impugnabili» (493) o «sia stata adottata da o per conto dei servizi di intelligence» (494). Dato che tale livello di «convinzione» è stato interpretato in maniera alquanto ampia (495), promuovere un'azione dinanzi a detto organo giurisdizionale richiede il soddisfacimento di requisiti di legittimazione bassi.

(267)

Quando valuta un reclamo che gli è stato sottoposto, l'Investigatory Powers Tribunal è tenuto a determinare se le persone nei confronti delle quali è stata mossa un'accusa abbiano svolto attività in relazione al reclamante, indagare in merito all'autorità presumibilmente coinvolta nelle violazioni e stabilire se l'asserita condotta abbia avuto luogo o meno (496). Quando esamina un procedimento, l'Investigatory Powers Tribunal deve applicare i medesimi principi decisionali che verrebbero applicati da un organo giurisdizionale per un'istanza di controllo giurisdizionale (497). Inoltre, i destinatari di mandati e avvisi ai sensi della legge del 2016 sui poteri di indagine e ogni altra persona che eserciti funzioni di Stato, sia impiegata dalle forze di polizia o dal Police Investigations and Review Commissioner sono tenuti a divulgare o a fornire a detto organo giurisdizionale tutti i documenti e tutte le informazioni che detto organo giurisdizionale possa richiedere per poter esercitare la sua competenza giurisdizionale (498).

(268)

L'Investigatory Powers Tribunal deve notificare al reclamante se è stata presa una decisione a suo favore o meno (499). Conformemente alla sezione 67, paragrafi 6 e 7, della RIPA 2000, l'Investigatory Powers Tribunal ha il potere di emettere provvedimenti provvisori e riconoscere risarcimenti o rendere qualsiasi altra ordinanza ritenuta opportuna. Può trattarsi di un'ordinanza di annullamento o cancellazione di un mandato o un'autorizzazione o di un'ordinanza che richieda la distruzione di qualunque registrazione di informazioni ottenute nell'esercizio di un potere conferito da un mandato, da un'autorizzazione o da un avviso, o altrimenti detenute da un'autorità pubblica in relazione a una persona (500). Conformemente alla sezione 67A della RIPA 2000, una decisione dell'Investigatory Powers Tribunal può essere impugnata, a condizione che il Tribunal o l'organo giurisdizionale di appello competente dia la propria autorizzazione.

(269)

È infine opportuno sottolineare che il ruolo dell'Investigatory Powers Tribunal è stato discusso nel contesto di azioni giudiziarie promosse dinanzi la Corte europea dei diritti dell'uomo in diverse occasioni, in particolare nella causa Kennedy contro Regno Unito (501) e più recentemente nella causa Big Brother Watch e altri contro Regno Unito (502), in cui l'organo giurisdizionale ha dichiarato che «l'Investigatory Powers Tribunal si è dimostrato un solido ricorso giurisdizionale per chiunque sospetti che le proprie comunicazioni siano state intercettate dai servizi di intelligence» (503).

(270)

Come spiegato ai considerando da 109 a 111, i mezzi di ricorso ai sensi della legge del 1998 sui diritti umani e la possibilità di adire la Corte europea dei diritti dell'uomo (504) sono disponibili anche nel settore della sicurezza nazionale. La sezione 65, paragrafo 2, della RIPA 2000 conferisce all'Investigatory Powers Tribunal la competenza giurisdizionale esclusiva per tutte le domande concernenti la legge sui diritti umani in relazione alle agenzie di intelligence (505). Ciò significa che, come osservato dall'Alta Corte, «la questione della sussistenza o meno, in un caso particolare, di una violazione della legge sui diritti umani può essere in linea di principio sollevata e decisa da un organo giurisdizionale indipendente che può avere accesso a tutto il materiale pertinente, compreso il materiale segreto. [...] Ricordiamo altresì in questo contesto che l'Investigatory Powers Tribunal stesso può ormai formare oggetto di un ricorso dinanzi l'organo giurisdizionale di secondo grado competente (in Inghilterra e Galles si tratterebbe della Corte d'appello); e che la Corte suprema ha recentemente deciso che l'Investigatory Powers Tribunal è in linea di principio assoggettabile a controllo giurisdizionale: cfr. R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219» (506).

(271)

Ne consegue che quando le autorità del Regno Unito preposte all'attività di contrasto o alla sicurezza nazionale accedono a dati personali che rientrano nel campo di applicazione della presente decisione, tale accesso è disciplinato da leggi che stabiliscono le condizioni alle quali può avvenire l'accesso e assicurano che l'accesso e l'ulteriore uso dei dati siano limitati a quanto necessario e proporzionati all'obiettivo di contrasto o di sicurezza nazionale perseguito. Inoltre tale accesso è soggetto nella maggior parte dei casi alla previa autorizzazione da parte di un organo giudiziario, attraverso l'approvazione di un mandato o di un'ordinanza per la consegna di prove, e in ogni caso a una vigilanza indipendente. Dopo che le autorità pubbliche hanno avuto accesso ai dati, il loro trattamento, compresi la condivisione successiva e il trasferimento successivo, è soggetto a garanzie specifiche in materia di protezione dei dati ai sensi della parte 3 della legge del 2018 sulla protezione dei dati, che rispecchiano quelle di cui alla direttiva (UE) 2016/680, per il trattamento da parte di autorità di contrasto e della parte 4 della medesima legge per il trattamento da parte di agenzie di intelligence. Infine gli interessati godono in questo settore di diritti a mezzi di ricorso effettivi in sede amministrativa e giudiziale, e hanno in particolare il diritto di accedere ai loro dati e di ottenerne la rettifica o la cancellazione.

(272)

Data l'importanza di tali condizioni, limitazioni e garanzie ai fini della presente decisione, la Commissione seguirà da vicino l'applicazione e l'interpretazione delle norme del Regno Unito che disciplinano l'accesso ai dati da parte delle pubbliche amministrazioni. Ciò comprenderà gli sviluppi legislativi, normativi e giurisprudenziali pertinenti, nonché le attività dell'ICO e di altre autorità di vigilanza in questo settore. Si presterà inoltre particolare attenzione all'esecuzione da parte del Regno Unito delle sentenze pertinenti della Corte europea dei diritti dell'uomo, comprese le misure individuate nei «piani d'azione» e nelle «relazioni d'azione» presentate al Comitato dei ministri nel contesto del controllo del rispetto delle sentenze della Corte.

(273)

La Commissione ritiene che il GDPR del Regno Unito e la legge del 2018 sulla protezione dei dati assicurino un livello di protezione dei dati personali trasferiti dall'Unione europea che è essenzialmente equivalente a quello garantito dal regolamento (UE) 2016/679.

(274)

Inoltre la Commissione ritiene che, nel complesso, i meccanismi di vigilanza e i mezzi di ricorso previsti dal diritto del Regno Unito consentano di individuare e sanzionare nella pratica le violazioni e offrano all'interessato mezzi di ricorso che gli permettono di accedere ai dati personali che lo riguardano e, in ultima analisi, di ottenerne la rettifica o la cancellazione.

(275)

Infine, sulla base delle informazioni disponibili sull'ordinamento giuridico del Regno Unito, la Commissione ritiene che qualsiasi ingerenza nei diritti fondamentali delle persone fisiche i cui dati personali sono trasferiti dall'Unione europea verso il Regno Unito da parte di autorità pubbliche del Regno Unito per fini di interesse pubblico, in particolare per finalità di contrasto e di sicurezza nazionale, sarà limitata a quanto strettamente necessario per conseguire l'obiettivo legittimo in questione; la Commissione ritiene inoltre che esista una protezione giuridica efficace contro tale ingerenza.

(276)

Di conseguenza, in considerazione delle risultanze di cui alla presente decisione, è opportuno decidere che il Regno Unito assicura un livello di protezione adeguato ai sensi dell'articolo 45, del regolamento (UE) 2016/679, interpretato alla luce della Carta dei diritti fondamentali dell'Unione europea.

(277)

Questa conclusione si basa tanto sul regime interno pertinente del Regno Unito quanto sugli impegni assunti dal Regno Unito a livello internazionale, in particolare l'adesione alla convenzione europea dei diritti dell'uomo e l'assoggettamento alla competenza giurisdizionale della Corte europea dei diritti dell'uomo. Il costante adempimento di tali obblighi internazionali costituisce pertanto un aspetto particolarmente importante della valutazione sulla quale si basa la presente decisione.

(278)

Gli Stati membri e i loro organi sono tenuti ad adottare le misure necessarie per conformarsi agli atti delle istituzioni dell'Unione, poiché si presumono legittimi e producono pertanto effetti giuridici, finché non scadano, non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un'eccezione di illegittimità.

(279)

Di conseguenza, una decisione di adeguatezza adottata dalla Commissione a norma dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 è vincolante per tutti gli organi degli Stati membri che ne sono destinatari, comprese le autorità di controllo indipendenti. In particolare, durante il periodo di applicazione della presente decisione, i trasferimenti da un titolare del trattamento o un responsabile del trattamento nell'Unione europea verso titolari del trattamento o responsabili del trattamento nel Regno Unito possono avvenire senza la necessità di ottenere ulteriori autorizzazioni.

(280)

È opportuno ricordare che, ai sensi dell'articolo 58, paragrafo 5, del regolamento (UE) 2016/679, e come spiegato dalla Corte di giustizia nella sentenza Schrems (507), quando un'autorità nazionale di protezione dei dati mette in dubbio, anche in seguito a un reclamo, la compatibilità di una decisione di adeguatezza della Commissione con i diritti fondamentali della persona fisica concernenti la tutela della vita privata e la protezione dei dati, il diritto nazionale deve prevedere mezzi di ricorso per l'affermazione di tali obiezioni dinanzi un organo giurisdizionale nazionale, che può essere tenuto a effettuare un rinvio pregiudiziale alla Corte di giustizia (508).

(281)

Ai sensi dell'articolo 45, paragrafo 4, del regolamento (UE) 2016/679, la Commissione è tenuta a monitorare, su base continuativa, gli sviluppi pertinenti nel Regno Unito in seguito all'adozione della presente decisione al fine di valutare se sia sempre assicurato un livello essenzialmente equivalente di protezione. Tale monitoraggio è particolarmente importante in questo caso, in quanto il Regno Unito gestirà, applicherà e farà rispettare un nuovo regime di protezione dei dati non più soggetto al diritto dell'Unione europea, che potrebbe essere suscettibile di evoluzioni. A tale riguardo, si presterà particolare attenzione all'applicazione pratica delle norme del Regno Unito sul trasferimento di dati personali verso paesi terzi e all'impatto che ciò può avere sul livello di protezione offerto ai dati trasferiti a norma della presente decisione; all'effettività dell'esercizio dei diritti individuali, compresi eventuali sviluppi giuridici e pratici pertinenti riguardanti le eccezioni o le limitazioni relative a tali diritti (in particolare per quanto riguarda il mantenimento dell'effettivo controllo dell'immigrazione); nonché al rispetto delle limitazioni e delle garanzie in materia di accesso da parte delle pubbliche amministrazioni. Assieme ad altri elementi, gli sviluppi giurisprudenziali e la vigilanza da parte dell'ICO e di altri organismi indipendenti contribuiranno al monitoraggio della Commissione.

(282)

Per agevolare tale monitoraggio, le autorità del Regno Unito dovrebbero informare tempestivamente la Commissione di qualsiasi modifica sostanziale dell'ordinamento giuridico del Regno Unito che abbia un impatto sul quadro giuridico oggetto della presente decisione, nonché di qualsiasi evoluzione delle pratiche relative al trattamento dei dati personali oggetto della presente decisione, per quanto riguarda sia il trattamento dei dati personali da parte dei titolari del trattamento e dei responsabili del trattamento ai sensi del GDPR del Regno Unito, sia le limitazioni e le garanzie applicabili all'accesso ai dati personali da parte delle autorità pubbliche. Ciò dovrebbe includere gli sviluppi relativi agli elementi di cui al considerando 281.

(283)

Inoltre, al fine di consentire alla Commissione di svolgere in modo efficace la propria funzione di monitoraggio, gli Stati membri dovrebbero informarla delle eventuali azioni intraprese dalle autorità nazionali di protezione dei dati, in particolare per quanto riguarda eventuali domande o reclami presentati da interessati dell'UE relativamente al trasferimento di dati personali dall'Unione europea verso titolari del trattamento o responsabili del trattamento nel Regno Unito. La Commissione dovrebbe inoltre essere informata di eventuali indicazioni del fatto che le azioni delle autorità pubbliche del Regno Unito responsabili della prevenzione, dell'indagine, dell'accertamento o del perseguimento dei reati ovvero della sicurezza nazionale, compresi gli organismi di vigilanza, non garantiscono il necessario livello di protezione.

(284)

Se dalle informazioni disponibili, in particolare da quelle risultanti dal monitoraggio della presente decisione o fornite dalle autorità del Regno Unito o degli Stati membri, risulta che il livello di protezione offerto dal Regno Unito potrebbe non essere più adeguato, la Commissione dovrebbe informare prontamente le autorità competenti del Regno Unito e richiedere che adottino misure adeguate entro un periodo di tempo specificato, che non può essere superiore a tre mesi. Se necessario, tale periodo può essere prorogato per un periodo di tempo determinato, tenuto conto della natura della questione in esame e/o delle misure da adottare. Ad esempio, tale procedura sarebbe avviata nei casi in cui i trasferimenti successivi, anche sulla base di nuovi regolamenti di adeguatezza adottati dal segretario di Stato o di accordi internazionali conclusi dal Regno Unito, non sarebbero più effettuati nel quadro di garanzie che assicurino la continuità della protezione ai sensi dell'articolo 44 del regolamento (UE) 2016/679.

(285)

Laddove alla scadenza di tale periodo di tempo specificato le autorità competenti del Regno Unito non abbiano adottato tali misure o non dimostrino altrimenti in modo soddisfacente che la presente decisione continua ad essere basata su un livello di protezione adeguato, la Commissione avvierà la procedura di cui all'articolo 93, paragrafo 2, del regolamento (UE) 2016/679 al fine di sospendere o abrogare parzialmente o completamente la presente decisione.

(286)

In alternativa, la Commissione avvierà tale procedura al fine di modificare la presente decisione, in particolare imponendo ulteriori condizioni per i trasferimenti di dati o limitando il riconoscimento dell'adeguatezza soltanto ai trasferimenti di dati per cui continua ad essere garantito un livello di protezione adeguato.

(287)

In ragione di motivi imperativi d'urgenza debitamente giustificati, la Commissione farà ricorso alla possibilità di adottare, conformemente alla procedura di cui all'articolo 93, paragrafo 3, del regolamento (UE) 2016/679, atti di esecuzione immediatamente applicabili destinati a sospendere, abrogare o modificare la presente decisione.

(288)

La Commissione deve tenere conto del fatto che, alla fine del periodo di transizione previsto dall'accordo di recesso e non appena la disposizione provvisoria di cui all'articolo 782 dell'accordo sugli scambi e la cooperazione UE-Regno Unito cesserà di applicarsi, il Regno Unito gestirà, applicherà e farà rispettare un nuovo regime di protezione dei dati che sostituirà quello in vigore quando era vincolato dal diritto dell'Unione europea. Ciò può comportare in particolare modifiche o cambiamenti del quadro di protezione dei dati valutato nella presente decisione, nonché altri sviluppi pertinenti.

(289)

Di conseguenza è opportuno prevedere che la presente decisione si applichi per un periodo di quattro anni a decorrere dalla sua entrata in vigore.

(290)

Laddove in particolare le informazioni risultanti dal monitoraggio della presente decisione rivelino che le conclusioni sull'adeguatezza del livello di protezione assicurato nel Regno Unito continuano ad essere giustificate in fatto e in diritto, la Commissione dovrebbe, al più tardi sei mesi prima della data in cui la presente decisione cesserà di applicarsi, avviare la procedura per modificare la presente decisione prorogandone l'applicazione temporale, in linea di principio, per un ulteriore periodo di quattro anni. Qualsiasi atto di esecuzione di tale sorta destinato a modificare la presente decisione deve essere adottato conformemente alla procedura di cui all'articolo 93, paragrafo 2, del regolamento (UE) 2016/679.

(291)

Il comitato europeo per la protezione dei dati ha pubblicato il proprio parere (509), del quale si è tenuto conto nell'elaborazione della presente decisione.

(292)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell'articolo 93 del regolamento (UE) 2016/679,