Il percorso che vede il termine della Brexit è tutt’altro che concluso. Il continuo slittamento delle date, gli accordi mancati e l’ipotesi di uscita “no deal” (cioè senza un accordo con Bruxelles) complica anche la valutazione di come approcciare il trasferimento dei dati personali tra Unione Europea e Regno Unito.
Proprio l’opzione di uscita senza accordo (la cosiddetta Hard Brexit) costringerà le aziende e le pubbliche amministrazioni a ricercare il modo più sicuro per il trasferimento dei dati al di fuori dei confini UE. Per questa eventualità il Comitato Europeo per la protezione dei dati si è attivato fornendo un prezioso vademecum.
Come affrontare il trasferimento dati dallo Spazio Economico Europeo al Regno Unito
Con la Brexit, in assenza di un accordo con l’Unione Europea, il Regno Unito diventerà a tutti gli effetti un paese terzo, extra UE, e non sarà più assoggettabile al principio del GDPR. Ciò significa che non potrà più garantire la libera circolazione dei dati personali tra i paesi membri dell’Unione.
In questa ipotesi aziende e PA potranno continuare a trasferire dati personali nel Regno Unito, ma solo a determinate condizioni. Il trasferimento sarà legittimo solo se fondato su alcuni strumenti:
- clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc;
- norme vincolanti d'impresa;
- codici di condotta, meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche.
Inoltre, in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si potranno utilizzare alcune deroghe a determinate condizioni.
Lo scenario che si delinea è assolutamente complesso e, per preparare aziende e PA ad affrontarlo, l’Edpb ha creato un utile vademecum con cinque attività di base da cui partire:
- identificare subito quali attività di trattamento implicheranno un trasferimento di dati personali nel Regno Unito;
- determinare lo strumento di trasferimento dati adatto ad ogni specifica situazione;
- attuare lo strumento di trasferimento dei dati scelto per essere pronto nel momento di uscita definitiva della Gran Bretagna dalla UE;
- indicare sempre e chiaramente nella documentazione interna che i trasferimenti saranno effettuati nel Regno Unito;
- aggiornare l’informativa sulla privacy di conseguenza per informare gli interessati.
Il giurista Francesco Pizzetti, ex presidente dell’Autorità Garante per la privacy ha commentato così: “Le specificazioni pubblicate dal Garante su alcune misure da adottare qualora si vogliano trasferire dati da UE a UK (e quindi anche da Italia a UK) nel caso di Brexit senza deal sono utilissime. Soprattutto perché richiamano l’attenzione su un punto essenziale. Senza deal l’uscita dalla UE comporta l’immediata e integrale applicazione delle norme relative ai trasferimenti di dati all’estero, cioè verso Paesi che non sono UE. Sono le norme, molto dettagliate, contenute nel Capo V del GDPR”.
E il trasferimento dati dal Regno Unito allo Spazio Economico Europeo?
Diversa esito avranno, invece, i trasferimenti di dati dal Regno Unito al SEE. Il Governo britannico ha reso noto, infatti, che la libera circolazione dei dati personali continuerà anche in caso di Brexit senza accordo con l’UE.
La questione, quindi, non è ancora risolta. Se hai bisogno di capirci di più e di avere maggiori informazioni sul trasferimento dati dall’Unione Europea alla Gran Bretagna contattaci. Saremo contenti di approfondire questo argomento con te.