– di Chiara M. Magalini.
Dopo gli ultimi incontri a Strasburgo recentemente tenutisi tra il premier britannico Theresa May e il presidente della Commissione UE Jean-Claude Juncker, il Parlamento inglese ha votato ieri 12 marzo nuovamente sull’accordo raggiunto tra Regno Unito e Unione Europea sulla Brexit. Stante la nuova bocciatura, oggi 13 marzo dovrebbe essere messa ai voti una mozione “no deal sì-no deal no” e successivamente (forse già giovedì 14 marzo) un possibile secondo testo sulla richiesta all’Unione Europea di un breve slittamento della Brexit rispetto al D-day del 29 marzo.
Nella situazione di grave incertezza che si è venuta a creare già dopo il primo voto del Parlamento inglese del 15 gennaio scorso, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del Regolamento Generale sulla protezione dei dati RGPD (Regolamento UE 2016/679) in caso di Brexit senza accordo con l’Ue.
E’ stato sottolineato che in assenza di un accordo tra l’UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019.
Per quanto riguarda i trasferimenti di dati dal Regno Unito al SEE (Spazio Economico Europeo, ovvero Unione Europea più Norvegia, Liechtenstein e Islanda), secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà anche in caso di Brexit senza accordo con l’UE.
Di contro, il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti:
– clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc,
– regole vincolanti d’impresa (BCR),
– codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche.
In assenza di clausole-tipo di protezione dei dati o delle altre garanzie adeguate di cui sopra, si possono utilizzare alcune deroghe, ma a determinate condizioni. EDPB ha sottolineato infatti – con la sopra menzionata nota del 12 febbraio scorso – che le deroghe previste dal Regolamento Generale 2016/679 (art. 49) consentono di trasferire dati verso Paesi terzi solo a determinate condizioni e rappresentano in ogni caso eccezioni alla regola dell’esistenza di garanzie adeguate (si vedano gli strumenti sopra ricordati, quali BCR, clausole-tipo di protezione dei dati, ecc.) ovvero alla regola che ammette i trasferimenti in base a una decisione sull’adeguatezza del paese terzo. Pertanto, la loro interpretazione deve essere restrittiva e il loro utilizzo deve riguardare principalmente trattamenti occasionali e non ripetitivi.
Alla luce dell’Art. 49 del RGPD, le deroghe in questione comprendono, fra l’altro, quanto segue:
– il consenso esplicito fornito dall’interessato al trasferimento previsto, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
– la necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato fra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
– la necessità del trasferimento per importanti motivi di interesse pubblico;
– la necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.
Per tutte le aziende (ivi comprese quelle italiane e con stabilimenti in Unione Europea) è importante quindi prestare attenzione agli sviluppi Brexit anche per gli impatti in ambito Data Protection.
L’Autorità Garante per la Protezione dei Dati Personali italiana ha suggerito da tempo 5 azioni utili per trasferire dati personali verso il Regno Unito in caso di «Hard Brexit» da implementare entro il 30 marzo 2019:
- Identificare quali attività di trattamento implicheranno un trasferimento di dati personali verso il Regno Unito;
- Individuare uno strumento appropriato per il trasferimento dei dati personali verso il Regno Unito;
- Implementare entro il 30 marzo 2019 lo strumento scelto per il trasferimento dati;
- Indicare nella documentazione interna (es: registro dei trattamenti) i trasferimenti di dati personali verso il Regno Unito;
- Aggiornare le informative sulla protezione dei dati.
Il nostro studio si occupa specificatamente di questa materia ed è disponibile ad analizzare ed approfondire la tematica anche in forma rapida via cavo.