Privacy e Brexit, cosa prevede l’ultimo accordo?

Come ormai noto ai più, dal 25 maggio 2018, è divenuto definitivamente efficace nell’UE il nuovo Regolamento per la protezione dei dati personal. L’ormai famosissimo GDPR ha l’obiettivo di armonizzare le normative europee in materia di protezione dei dati e nel sistema italiano ha determinato la rivisitazione della disciplina contenuta nel D.lgs. 196/2003. Ma cosa accade con l’attuazione della Brexit? Ripercorriamo la vicenda dal 2019 ad oggi.

Aggiornamento – La scadenza del 31 dicembre 2020

Siamo davvero ad un passo dal compimento della Brexit. Con la scadenza del termine del 31 dicembre 2020, termina il periodo di transizione che decorreva dal 1° febbraio 2020. Dal 1° gennaio 2021, stando così le cose, i trasferimenti di dati personali dall’Unione Europea verso il Regno Unito diversi da quelli disciplinati dall’articolo 71, paragrafo 1, dell’accordo di recesso non saranno trattati come condivisione di dati all’interno dell’Unione e dovranno rispettare le norme unionali applicabili ai trasferimenti di dati personali verso paesi terzi. Come noto, l’articolo 71, paragrafo 1, dell’accordo di recesso prevede che i dati personali degli interessati al di fuori del Regno Unito, purché

• siano stati trasmessi al Regno Unito o altrimenti trattati nel Regno Unito prima della fine del periodo di transizione; o
• siano trasmessi al Regno Unito o altrimenti trattati nel Regno Unito dopo la fine del periodo di transizione in virtù dell’accordo di recesso;
• continuino a essere trattati nel Regno Unito conformemente al regolamento (UE) 2016/679 dopo la fine del periodo di transizione.

Il regolamento (UE) 2016/679 cesserà comunque di applicarsi (cfr. l’articolo 71, paragrafo 2, dell’accordo di recesso) se la Commissione adotterà una decisione di adeguatezza secondo la quale il Regno Unito offre un livello di protezione adeguato ai sensi dell’articolo 45, paragrafo 3, del medesimo regolamento.

Le scelte sui dati e la salvaguardia della privacy

La scelta prefigurata nel 2019 prevedeva, dopo una serie di vicissitudini legate alla possibilità da parte del legislatore nazionale di eliminare il precedente Codice privacy, oppure di armonizzarne le disposizioni con la nuova disciplina, si è optato per la seconda strada. Il D.lgs. 101/2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, pubblicato nella Gazzetta Ufficiale del 4 settembre 2018, n. 205, è infatti intervenuto sulla previgente normativa, adeguandola alle nuove disposizione europee.

Il GDPR e la Brexit – la storia prima dell’accordo 2020

Il Comitato Europeo per la Protezione dei Dati (EDPB), il 12 febbraio 2019, ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche in merito ai comportamenti da adottare in caso di trasferimento di dati a norma del Reg. UE 2016/679 (GDPR), nel caso in cui si addivenisse all’uscita del Regno Unito dall’Unione Europea senza un accordo. Nella nota si specifica che in assenza di un accordo tra l’Unione Europea e il Regno Unito, quest’ultimo diventerà a tutti gli effetti un paese terzo a partire dal 30 marzo 2019 e ciò significherà che il trasferimento dei dati personali dall’UE verso il Regno Unito dovrà seguire le regole previste dal Regolamento per il trasferimento verso paesi terzi (CAPO V GDPR). Dovrà quindi essere adottato uno dei seguenti strumenti:

• clausole-tipo di protezione dei dati. Con la controparte del Regno Unito sarà necessario concordare l’uso delle clausole standard sulla protezione dei dati approvate dalla Commissione europea. Questi contratti, offrono adeguate garanzie in materia di protezione dei dati personali necessarie in caso di trasferimento di dati verso qualsiasi paese terzo. È importante notare che tali clausole non possono essere modificate e devono essere firmate come previsto. Tuttavia, questi contratti possono essere inclusi in un contratto più ampio e potrebbero essere inserite clausole aggiuntive a condizione che non siano in contrasto, direttamente o indirettamente, con le clausole adottate dalla Commissione europea. Considerando il lasso di tempo che precede il 30 marzo, l’EDPB riconosce che le clausole sulla protezione dei dati standard sono uno strumento pronto all’uso;
• norme vincolanti d’impresa. Le regole aziendali vincolanti sono politiche di protezione dei dati personali seguite da un gruppo di imprese (ad esempio multinazionali) al fine di fornire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo, anche al di fuori del SEE. Queste regole devono tuttavia essere aggiornate per essere pienamente in linea con le disposizioni del GDPR;
• codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. Un codice di condotta o un meccanismo di certificazione può offrire garanzie adeguate per i trasferimenti di dati personali se contengono impegni vincolanti ed esecutivi da parte dell’organizzazione nel paese terzo a beneficio dei singoli;
• deroghe.

Il tema delle deroghe sull’affaire Brexit

È importante sottolineare che le deroghe consentono il trasferimento dei dati a determinate condizioni e costituiscono un’eccezione alla regola di aver introdotto garanzie appropriate (si vedano gli strumenti come i BCR o le clausole standard sulla protezione dei dati) o di trasferire i dati sulla base di una decisione di adeguatezza. Devono quindi essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento occasionali e non ripetitive. La nota specifica quindi quali debbono essere i passaggi per procedere correttamente, ovvero:

• individuare quali attività di elaborazione implicheranno un trasferimento di dati personali nel Regno Unito;
• determinare lo strumento appropriato per il trasferimento dei dati per la specifica situazione;
• implementare lo strumento di trasferimento dati scelto per essere pronto per il 30 marzo 2019;
• indicare nella propria documentazione interna che i trasferimenti saranno effettuati nel Regno Unito;
• aggiornare di conseguenza l’informativa sulla privacy per informare gli individui coinvolti.

Per quanto concerne invece il trasferimento dei dati dal Regno Unito verso l’Unione Europea, la nota precisa che secondo il governo del Regno Unito, l’attuale pratica, che consente ai dati personali di fluire liberamente dal Regno Unito al SEE, continuerà in caso di Brexit no-deal.   Articolo pubblicato il 06.03.2019 – aggiornato il 26.12.2020