GDPR e Brexit: cosa cambia per il trasferimento dati con l’uscita del Regno Unito dalla UE - Cyber Security 360

GUIDA NORMATIVA

GDPR e Brexit: cosa cambia per il trasferimento dati con l’uscita del Regno Unito dalla UE

L’accordo sulla Brexit prevede che per altri sei mesi i dati personali potranno essere trasferiti liberamente verso il Regno Unito, dopodiché sarà necessario che la UE adotti delle decisioni di adeguatezza così come previsto dal GDPR. Ecco quali potranno essere i possibili scenari futuri e cosa cambia per le aziende

13 Gen 2021
Z
Paola Zanellati

Consulente Privacy

Dal primo gennaio il Regno Unito è ufficialmente fuori dall’Unione Europea: l’accordo sulla Brexit, raggiunto lo scorso 24 dicembre 2020, riguarda anche il trasferimento dei dati personali e ha riservato una sezione speciale alle tematiche privacy, quindi con evidenti impatti anche sull’applicazione del GDPR.

In particolare, l’Autorità indipendente del regno Unito istituita per difendere i diritti di informazione nell’interesse pubblico e la riservatezza dei dati per le persone (ICO) ha annunciato che il trattato con l’UE consentirà ai dati personali di essere trasferiti liberamente verso il Regno Unito per ulteriori sei mesi fino all’adozione dell’art. 45 del GDPR ossia l’adozione delle decisioni di adeguatezza.

Proprio Elizabeth Denhami, commissario per le informazioni, ha dichiarato: “Questo è il miglior risultato possibile per le organizzazioni britanniche che elaborano i dati personali dell’UE. Ciò significa che le organizzazioni possono essere fiduciose nel libero flusso di dati personali dal primo gennaio, senza dover apportare modifiche alle loro pratiche di protezione dei dati”.

GDPR e Brexit: cosa cambia per il trasferimento dati

In particolare, l’accordo raggiunto tra Unione Europea e Regno Unito prevede che:

  • ci sarà un periodo transitorio massimo di sei mesi in cui i trasferimenti di dati personali dall’UE verso il Regno Unito saranno liberi;
  • il Regno Unito non sarà considerato un “Paese terzo” e quindi non saranno necessarie clausole contrattuali standard o altri mezzi previsti dagli articoli 46 o 49 del GDPR;
  • durante tale periodo, il Regno Unito ha riconosciuto che le leggi sulla privacy dell’Unione europea sono adeguate per il trasferimento dei dati dal Regno Unito nei Paesi dell’Unione;
  • il periodo di transizione potrebbe essere più breve qualora la Commissione europea adottasse tempestivamente una decisione di adeguatezza.

Sarà necessario “sperare” che l’Unione europea riconosca il Regno Unito come un Paese che offre garanzie adeguate in materia di privacy.

In questo caso, emanerà una “decisione di adeguatezza”. La decisione di adeguatezza costituirebbe una valida base giuridica per trasferire i dati personali in UK.

L’emanazione di una decisione di adeguatezza non rappresenta certo una novità. Infatti, in questi anni la Commissione europea ne ha emanate circa una decina.

È molto probabile che l’Unione europea emani una decisione di adeguatezza in quanto è stato lo stesso Regno Unito a partecipare alla stesura del GDPR negli anni passati.

Sarebbe irrazionale che a seguito della Brexit, lo stesso Regno Unito non sia riconosciuto come un Paese che offre garanzia adeguate in tema privacy. Ma mai dire mai.

Tema non semplice, anche alla luce della recente Sentenza Schrems II che le aziende e i loro DPO dovranno affrontare per evitare trasferimenti di dati non corretti.

GDPR e Brexit: sovrapposizione normativa tra GDPR UK e GDPR UE

Ci saranno ora due versioni separate e distinte del GDPR che possono essere applicate alle organizzazioni: il GDPR del Regno Unito (il GDPR incorporato nella legge britannica ma rivisto per riflettere il fatto che il Regno Unito non è più uno stato membro dell’UE) e il GDPR dell’UE.

Almeno per cominciare, gli standard di protezione dei dati stabiliti dal GDPR del Regno Unito e dal GDPR dell’UE saranno essenzialmente gli stessi. si tratta di leggi distinte, le società che sono soggette sia al GDPR del Regno Unito che al GDPR dell’UE devono affrontare metodi di applicazione separati.

Di seguito si riassumono alcuni aspetti dei regimi normativi:

  • per le organizzazioni soggette al GDPR del Regno Unito, l’autorità di regolamentazione della protezione dei dati di tale organizzazione sarà l’Ufficio del Commissario per le informazioni del Regno Unito (“ICO”);
  • autorità di controllo principale: per le società per le quali l’ICO era la loro principale autorità di controllo ai sensi del GDPR dell’UE, questo non sarà più il caso. Le società interessate devono considerare:
  1. se esiste un’autorità di vigilanza alternativa degli Stati membri dell’UE che potrebbe avere funzioni da “autorità di controllo principale”;
  2. se non sono più in grado di beneficiare della procedura “sportello unico” ai sensi del GDPR dell’UE (articoli 56 e da 60 a 62) e valutare le autorità di controllo che potrebbero avere giurisdizione;
  • rappresentanti: le società del Regno Unito che sono soggette al GDPR dell’UE, ma non stabilite nell’UE, dovranno nominare un rappresentante dell’UE ai sensi dell’articolo 27 del GDPR dell’UE. Le società dell’UE non stabilite nel Regno Unito ma soggette al GDPR del Regno Unito dovranno, analogamente, nominare un rappresentante del Regno Unito ai sensi delle disposizioni equivalenti del GDPR del Regno Unito;
  • cooperazione: ai sensi sia del GDPR dell’UE che del GDPR del Regno Unito, le società devono impegnarsi con le autorità di controllo competenti in relazione alle notifiche di violazione dei dati, per la nomina di un responsabile della protezione dei dati (DPO) e prima di impegnarsi in un trattamento ad alto rischio. Dove vi sia un trattamento che interessa l’UE e il Regno Unito, le società dovranno ora impegnarsi in modo indipendente sia con l’ICO del Regno Unito che con le autorità di vigilanza dell’UE competenti.

Conseguenze di una mancata adozione delle decisioni di adeguatezza

Se nel periodo di 6 mesi, decorrenti dal primo gennaio 2021, la Commissione europea non dovesse pronunciare una decisione di adeguatezza del Regno Unito, le conseguenze privacy potrebbero essere molto pesanti.

Il Regno Unito sarà da trattare a tutti gli effetti quale Paese terzo.

Ciò significa che la comunicazione di dati a soggetti ivi stabiliti da parte di titolari/responsabili nell’Unione Europea si trasformerà in una operazione denominata come “trasferimento”, così come configurato e disciplinato dal Capo V del Regolamento UE 2016/679.

I trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui agli artt. 44 e ss del Regolamento UE 2016/679, salva l’adozione da parte della CE di una decisione che riconosca che il Regno Unito garantisce un livello di protezione adeguato (art. 45 del Regolamento UE 2016/679):

  • il paese terzo può essere inserito in una lista di paesi, per i quali vale una decisione di adeguatezza. Ciò significa che la commissione dell’unione europea ritiene che, a tutti gli effetti, le regole afferenti alla protezione dei dati personali, in vigore nel paese terzo, sono di livello sufficientemente elevato e paragonabile a quelle esistenti nell’Unione Europea. I lettori possono consultare sul sito della commissione europea l’elenco dei paesi inseriti in questo elenco: uno degli ultimi paesi recentemente inserito è il Giappone;
  • il trasferimento nel paese terzo può essere consentito solamente se avviene tra un titolare residente unione europea ed un titolare residente nel paese terzo, solo a condizione che siano state stipulate delle garanzie adeguate, illustrate nell’articolo 46 del regolamento europeo, che possono garantire agli interessati al trattamento una efficiente e tempestiva cautela, in caso di anomalie;
  • infine, il trasferimento in paese terzo può essere consentito dopo la stipula di regole vincolanti di impresa, ma solo fra due titolari che facciano riferimento allo stesso gruppo economico multinazionale.

I suggerimenti dell’EDPB

Sul punto, l’EDPB (European Data Protection Board) ha realizzato un interessante flow chart per semplificare il processo di trasferimenti verso il Regno Unito dei dati alla luce di quanto sta accadendo.

Concretamente, la società con sede in UE (sia titolare o responsabile) che veda coinvolti i propri dati in un trasferimento verso il Regno Unito dovrà preoccuparsi delle attività che seguono.

In assenza di una decisione di adeguatezza si potrà procedere secondo quanto predisposto dall’art. 46 e ss del GDPR.

Quindi, il trasferimento potrà avvenire solo in presenza di garanzie adeguate e a condizione che gli interessati nel Paese terzo abbiano sottoscritto le cosiddette “data protection clauses”.

In particolare, potranno sottoscriversi “Norme vincolanti d’impresa” ex art. 47 GDPR, che vengono approvate dall’autorità di controllo a patto che siano giuridicamente vincolanti e che si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti.

Strumento molto più diffuso, le Clausole tipo di protezione dei dati (SCC – Standard Contractual Clauses) adottate dalla Commissione e che disciplinano i trasferimenti intra ed extra UE tra titolare/titolare e tra titolare/responsabile.

Le deroghe previste dal GDPR

Se le indicazioni sopra esposte non sono applicabili, si possono utilizzare le deroghe di cui all’art. 49 del Regolamento UE 2016/679.

Sul punto, il Comitato europeo ha precisato che nell’applicare l’art. 49, GDPR, il titolare che trasferisce i dati fuori dall’UE è tenuto comunque all’osservanza delle condizioni previste dalle altre disposizioni del GDPR.

Pertanto, anche in questo caso, ogni attività di trattamento deve essere conforme alle disposizioni sulla protezione dei dati, segnatamente quelle degli articoli 5 e 6, GDPR, rendendosi necessaria una verifica articolata in due fasi: il trattamento dei dati deve essere fondato su una base giuridica, nel rispetto di tutte le disposizioni pertinenti del GDPR; occorre ottemperare alle disposizioni di cui al Capo V, GDPR.

L’art. 49, par. 1, GDPR prevede che, in mancanza di una decisione di adeguatezza o di garanzie adeguate, è ammesso il trasferimento di dati personali extra-UE se si verificano determinate condizioni, tra cui:

  • il consenso esplicito dell’interessato al trasferimento, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
  • la necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato tra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
  • la necessità del trasferimento per importanti motivi di interesse pubblico;
  • la necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.

GDPR e Brexit: cosa cambia per le aziende

Una volta completate le formalità per il trasferimento, l’azienda internamente dovrà preoccuparsi dei seguenti aspetti:

  1. tracciare il flusso di trasferimento dei dati nel registro dei trattamenti (indicando anche il luogo di destinazione/eventuale ubicazione dei server di riferimento);
  2. implementare adeguate procedure per istruire gli incaricati e formarli relativamente al meccanismo di trasferimento;
  3. dal momento che il trasferimento coinvolgerà necessariamente i dati degli interessati, saranno da aggiornare tutte le informative predisposte tra cui quella dipendenti, clienti, fornitori, privacy policy sul sito web e relative ai servizi offerti con tutti i dettagli degli accordi.

Conclusione

I preparativi da disporre per dare continuità ai rapporti con titolari e responsabili nel Regno Unito nel rispetto del Regolamento UE 2016/679, finiscono per rappresentare una scaletta di adempimenti analoghi a quelli necessari per un trasferimento di dati in qualunque altro Paese al di fuori dello Spazio Economico Europeo.

Il quadro, così descritto, fa capire che molte questioni sollevate dall’impatto della Brexit sul GDPR rimangono ancora aperte e andranno in ogni caso gestite in base alle specificità dei singoli casi concreti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5