Privacy e Brexit, quali conseguenze senza accordo?

Il Comitato Europeo per la Protezione dei Dati (EDPB), il 12 febbraio 2019, ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del Reg. UE 2016/679 (GDPR), nel caso in cui si addivenisse all’uscita del Regno Unito dall’Unione Europea senza un accordo

Come ormai noto ai più, dal 25 maggio 2018, è divenuto definitivamente efficace nell’UE il nuovo Regolamento per la protezione dei dati personal. L’ormai famosissimo GDPR ha l’obiettivo di armonizzare le normative europee in materia di protezione dei dati e nel sistema italiano ha determinato la rivisitazione della disciplina contenuta nel D.lgs. 196/2003.

Dopo una serie di vicissitudini legate alla possibilità da parte del legislatore nazionale di eliminare il precedente Codice privacy, oppure di armonizzarne le disposizioni con la nuova disciplina, si è optato per la seconda strada.

Il D.lgs. 101/2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, pubblicato nella Gazzetta Ufficiale del 4 settembre 2018, n. 205, è infatti intervenuto sulla previgente normativa, adeguandola alle nuove disposizione europee.

Il GDPR e la Brexit

Il Comitato Europeo per la Protezione dei Dati (EDPB), il 12 febbraio 2019, ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche in merito ai comportamenti da adottare in caso di trasferimento di dati a norma del Reg. UE 2016/679 (GDPR), nel caso in cui si addivenisse all’uscita del Regno Unito dall’Unione Europea senza un accordo.

Nella nota si specifica che in assenza di un accordo tra l’Unione Europea e il Regno Unito, quest’ultimo diventerà a tutti gli effetti un paese terzo a partire dal 30 marzo 2019 e ciò significherà che il trasferimento dei dati personali dall’UE verso il Regno Unito dovrà seguire le regole previste dal Regolamento per il trasferimento verso paesi terzi (CAPO V GDPR).

Dovrà quindi essere adottato uno dei seguenti strumenti:

  • clausole-tipo di protezione dei dati. Con la controparte del Regno Unito sarà necessario concordare l’uso delle clausole standard sulla protezione dei dati approvate dalla Commissione europea. Questi contratti, offrono adeguate garanzie in materia di protezione dei dati personali necessarie in caso di trasferimento di dati verso qualsiasi paese terzo. È importante notare che tali clausole non possono essere modificate e devono essere firmate come previsto. Tuttavia, questi contratti possono essere inclusi in un contratto più ampio e potrebbero essere inserite clausole aggiuntive a condizione che non siano in contrasto, direttamente o indirettamente, con le clausole adottate dalla Commissione europea. Considerando il lasso di tempo che precede il 30 marzo, l’EDPB riconosce che le clausole sulla protezione dei dati standard sono uno strumento pronto all’uso;
  • norme vincolanti d’impresa. Le regole aziendali vincolanti sono politiche di protezione dei dati personali seguite da un gruppo di imprese (ad esempio multinazionali) al fine di fornire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo, anche al di fuori del SEE. Queste regole devono tuttavia essere aggiornate per essere pienamente in linea con le disposizioni del GDPR;
  • codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. Un codice di condotta o un meccanismo di certificazione può offrire garanzie adeguate per i trasferimenti di dati personali se contengono impegni vincolanti ed esecutivi da parte dell’organizzazione nel paese terzo a beneficio dei singoli;
  • deroghe.

È importante sottolineare che le deroghe consentono il trasferimento dei dati a determinate condizioni e costituiscono un’eccezione alla regola di aver introdotto garanzie appropriate (si vedano gli strumenti come i BCR o le clausole standard sulla protezione dei dati) o di trasferire i dati sulla base di una decisione di adeguatezza. Devono quindi essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento occasionali e non ripetitive.

La nota specifica quindi quali debbono essere i passaggi per procedere correttamente, ovvero:

  • individuare quali attività di elaborazione implicheranno un trasferimento di dati personali nel Regno Unito;
  • determinare lo strumento appropriato per il trasferimento dei dati per la specifica situazione;
  • implementare lo strumento di trasferimento dati scelto per essere pronto per il 30 marzo 2019;
  • indicare nella propria documentazione interna che i trasferimenti saranno effettuati nel Regno Unito;
  • aggiornare di conseguenza l’informativa sulla privacy per informare gli individui coinvolti.

Per quanto concerne invece il trasferimento dei dati dal Regno Unito verso l’Unione Europea, la nota precisa che secondo il governo del Regno Unito, l’attuale pratica, che consente ai dati personali di fluire liberamente dal Regno Unito al SEE, continuerà in caso di Brexit no-deal.

Marco Porcu

Avvocato, specializzato in diritto amministrativo con particolare riferimento agli appalti pubblici, edilizia ed urbanistica.

Archivio Articoli

Ti è piaciuto questo contenuto?

Con la newsletter Teknoring resti sempre aggiornato.

In più, uno sconto del 20% su libri ed e-book e l’accesso ai vantaggi riservati agli iscritti.

ISCRIVITI

Potrebbero interessarti