Il trasferimento dei dati da e per il Regno Unito in caso di “no-deal Brexit”
Con nota informativa del 13 febbraio 2019, destinata alle aziende ed alle autorità pubbliche, il Comitato Europeo per la Protezione dei Dati ha indicato le linee guida per il trasferimento dei dati personali tra lo Spazio Economico Europeo (SSE) ed il Regno Unico anche in caso di “no-deal Brexit”.
A partire dalla mezzanotte del 30 marzo 2019, nel caso in cui non si raggiunga un accordo con l’Unione Europea, il Regno Unito sarà un Paese terzo rispetto allo Spazio Economico Europeo.
Quali potrebbero essere le conseguenze? Vediamo le due vie di trasferimento di dati.
In caso di trasferimento dei dati dal SSE verso il Regno Unito, dovranno tenersi in considerazione le seguenti indicazioni:
– clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc: L’azienda o il soggetto pubblico può accordarsi con la controparte nel Regno Unito per utilizzare le clausole-tipo di protezione dati approvate dalla Commissione europea. Con tali clausole si possono prestare le garanzie adeguate in termini di protezione dati che sono richieste qualora si trasferiscano dati personali verso un paese terzo;
– norme vincolanti d’impresa: Le norme vincolanti d’impresa (BCR) descrivono le politiche di protezione dei dati cui aderiscono gli appartenenti a un gruppo di imprese (cioè, un’impresa multinazionale) al fine di offrire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo stesso – anche al di fuori del SEE;
– codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche: Un codice di condotta o uno schema di certificazione possono offrire garanzie adeguate ai fini dei trasferimenti di dati personali purché contengano impegni vincolanti ed esecutivi da parte del titolare o del responsabile nel paese terzo a beneficio degli interessati;
– deroghe dettate dall’art. 49 del GDPR: In assenza di misure di garanzia, il trasferimento dei dati personali in Paesi terzi è possibile solo quando:
– l’interessato ha acconsentito al trasferimento dei propri dati personali in un Paese terzo, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
– il trasferimento è necessario per l’esecuzione o la conclusione di un contratto stipulato fra l’interessato e il Titolare del trattamento, ovvero di un contratto stipulato nell’interesse della persona interessata;
– il trasferimento è necessario per importanti motivi di interesse pubblico;
– il trasferimento è necessario per il perseguimento degli interessi legittimi e cogenti del Titolare e del Responsabile.
Invece, nel caso di flusso di dati dal Regno Unito al SSE, il governo britannico comunica che la libera circolazione dei dati personali continuerà anche in caso di Brexit senza accordo con l’Unione Europea.
Il nostro Garante Privacy, al momento della condivisione della nota informativa del Comitato Europeo, ha diffuso una interessante infografica indicando 5 consigli da attuare in caso di “no-deal Brexit”:
- identificare quali attività di trattamento implicheranno un trasferimento di dati personali verso il Regno Unito;
- individuare uno strumento appropriato per il trasferimento dei dati personali verso il Regno Unito;
- implementare entro il 30 marzo 2019 lo strumento scelto per il trasferimento dei dati;
- indicare nella documentazione interna (es. registro dei trattamenti) i trasferimenti di dati personali verso il Regno Unito;
- aggiornare le informative sulla protezione dei dati.