Nel mese di febbraio 2020, intervenuta la Brexit, una serie di problematiche legate al trattamento dati sono restate “sospese”. Di fatto, uscendo dall’Unione Europea, l’Inghilterra diventerà un “paese terzo” rispetto agli Stati Membri e quindi si dovrà valutare la correttezza del trasferimento dati in quel paese in caso, per esempio, di fornitore con sede UK. Tema non semplice, anche alla luce della recente “Sentenza Schrems II”, che le aziende e i loro DPO dovranno affrontare per evitare trasferimenti di dati non corretti.
Procediamo con ordine.
Preliminarmente è importante ricordare che fino al termine del periodo transitorio (dicembre 2020), nell’ambito dell’accordo di recesso è stato concordato che continueranno ad applicarsi tutte le disposizioni del Regolamento UE 2016/679 GDPR.
Una volta scaduto il predetto termine, quindi, i trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui agli artt. 44 e ss del Regolamento UE 2016/679, salva l’adozione da parte della CE di una decisione che riconosca che il Regno Unito garantisca un livello di protezione adeguato (art. 45 del Regolamento UE 2016/679).
Sul punto, l’EDPS (European Data Protection Board) ha realizzato un interessante documento contenente anche un diagramma di flusso per semplificare il processo di trasferimenti verso il Regno Unito dei dati alla luce di quanto sta accadendo.
Concretamente, la società con sede in UE (sia titolare o responsabile) che veda coinvolti i propri dati in un trasferimento verso il Regno Unito dovrà preoccuparsi delle attività che seguono.
Dal gennaio 2021, il Regno Unito diventa Paese terzo rispetto all’UE. Pertanto, per allora, sarà interessante vedere se la Commissione Europea avrà sottoscritto una decisione di adeguatezza ex art. 45 GDPR: se questo è il caso si potrà procedere tranquillamente con il trasferimento. L’adozione di una decisione di adeguatezza semplificherebbe notevolmente l’attività per le aziende, ma è necessario prepararsi anche nell’ipotesi che ciò non accada.
In assenza di una decisione di adeguatezza si potrà procedere secondo quanto predisposto dall’art. 46 e ss del GDPR.
Quindi, il trasferimento potrà avvenire solo in presenza di garanzie adeguate e a condizione che gli interessati nel paese terzo dispongano di diritti azionabili e mezzi di ricorso effettivi, ovvero tramite la sottoscrizione delle c.d. data protection clauses.
In particolare potranno sottoscriversi “Norme vincolanti d’impresa” (BCR – Binding corporate rules) ex art. 47 GDPR: vengono approvate dall’autorità di controllo a patto che siano giuridicamente vincolanti e che si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti.
Strumento molto più diffuso, le Clausole tipo di protezione dei dati (SCC – Standard Contractual Clauses) adottate dalla Commissione e che disciplinano i trasferimenti intra ed extra UE tra titolare/titolare e tra titolare/responsabile.
Infine, si potranno anche stilare Clausole tipo di protezione dei dati adottate congiuntamente da un’autorità di controllo e approvate dalla Commissione: in questo caso, non essendo predeterminato il contenuto come nel caso precedente, è richiesta la partecipazione rafforzata di due organismi per l’approvazione.
Naturalmente se i meccanismi sopra esposti non possono applicarsi, si possono comunque utilizzare le deroghe di cui all’art. 49 del Regolamento.
Una volta completate le formalità per il trasferimento, l’azienda internamente dovrà preoccuparsi dei seguenti aspetti:
– tracciare il flusso di trasferimento dei dati nel registro dei trattamenti (indicando anche il luogo di destinazione/eventuale ubicazione dei server di riferimento);
– implementare adeguate procedure per istruire gli incaricati e formarli relativamente al meccanismo di trasferimento;
– dal momento che il trasferimento coinvolgerà necessariamente i dati degli interessati, saranno da aggiornare tutte le informative predisposte tra cui quella dipendenti, clienti, fornitori, privacy policy sul sito web e relative ai servizi offerti con tutti i dettagli degli accordi.
Nell’attuale contesto di incertezza generale non è ancora stato siglato ufficialmente nessun accordo per il trasferimento dei dati, né, tantomeno, è stata emessa una decisione di adeguatezza da parte della commissione europea nei confronti della GB.
Deve però rilevarsi che il Data Protection Act del 2018 resta in vigore, e stante anche quanto fatto dall’ICO in questi anni in tema di data protection, dovrebbe essere più facile approdare a una tale decisione.
ln alternativa, il GDPR verrà introdotto nella legge del Regno Unito come “UK GDPR”, ma potrebbe volerci del tempo prima che siano definiti con chiarezza i criteri per l’applicazione di alcuni punti fondamentali, ivi incluso quello del trasferimento dei dati.
Diagramma di flusso: trasferimento dati all’interno del contesto della Brexit – Fonte documento “Flowcharts and Checklists on Data Protection” EDPB