Redazione
L’accordo sulla Brexit oltre alla definizione delle relazioni economiche fra la UE ed il Regno Unito comprende anche l’accordo sullo scambio di dati personali.
Cerchiamo di chiarire come vengono trasferiti i dati tra i cittadini europei e britannici a partire dal 1 gennaio 2021.
BREXIT NON SOLTANTO ACCORDI ECONOMICI
Ursula von der Leyen, Presidente della Commissione Europea, e Boris Johnson, Primo Ministro del Regno Unito sono riusciti a fare un accordo, in zona Cesarini, dopo mesi di negoziazioni infruttuose.
La maggior parte del negoziato sulla Brexit ha riguardato la parte economica. Tuttavia, la Brexit ha effetti anche per tutte le organizzazioni della UE che trasferiscono dati personali a società nel Regno Unito anche se quasi nessuno ne parla.
LE REGOLE ATTUALI RIMANGONO IN VIGORE, PER ORA
L’accordo sulla Brexit chiarisce il trasferimento di dati personali non cambierà nei primi 4 mesi dall’entrata in vigore dell’accordo. Per cui, fino al 30 aprile, sarà “business as usual” ossia non ci saranno cambiamenti per gli imprenditori che trasferiscono dati di cittadini europei e britannici.
Questo però rimane valido solo se, nel frattempo, gli inglesi non cambiano le regole per la protezione dei dati personali. Nel caso di nuove regole, queste si applicherebbero sia alle società britanniche sia a quelle europee. Se gli inglesi non introdurranno nuove regole, le regole attuali rimarranno in vigore e, il periodo di transizione di 4 mesi può eventualmente essere esteso a 6 mesi, ma soltanto con l’approvazione specifica sia della UE sia del Regno Unito.
IL TRASFERIMENTO DEI DATI PERSONALI DAL 1 LUGLIO 2021
Al massimo dopo 6 mesi, l’attuale policy per il trasferimento di dati personali tra la UE e il Regno Unito viene a cessare in modo definitivo. Come verranno trasferiti i dati personali a partire dal 1 luglio 2021 è una domanda a cui nessuno oggi è in grado di rispondere. Il futuro è nelle mani della Commissione Europea che, entro fine giugno, dovrà prendere una decisione di adeguatezza. Questo significa che la Commissione decide se il livello di protezione dei dati del Regno Unito è da ritenersi un Paese con regole appropriate o meno. Se il giudizio è positivo, le organizzazioni possono continuare a trasferire i dati personali con i britannici.
Nel caso in cui, la Commissione Europea:
- non prendesse alcuna decisione di adeguatezza entro la fine di giugno oppure
- se avesse bisogno di più tempo per decidere,
il trasferimento di dati personali nel Regno Unito sarà considerato come un trasferimento in un Paese Terzo al di fuori dell’Unione Europea (i.e. SEE) e come tale soggetto al GDPR (Regolamento generale sulla protezione dei dati). In questo caso la norma principale prevede che i dati personali possono essere trasferiti in Paesi Terzi soltanto se il Paese in questione offre un livello di protezione considerato adeguato.
Visto che la Corte di giustizia europea (CGUE) con sentenza ha dichiarato non valido il cd. Privacy Shield e che i rappresentanti politici, molto probabilmente, avranno bisogno di parecchi mesi per la formulare un nuovo Privacy Shield, le società dovranno attivare modelli di contratto per poter trasferire i dati personali nel Regno Unito.
Il GDPR offre quindi 3 costruzioni per fornire un livello di protezione adeguato:
- i suddetti modelli di contratto;
- i codici di condotta;
- il meccanismo di certificazione; e
- le BCR (Binding Corporate Rules), che sono codici di condotta interni di organizzazioni internazionali o di multinazionali.
Tuttavia, questi accordi, regolati nell’articolo 46 paragrafo 2 (e) e (f), devono essere accompagnati da impegni vincolanti ed esecutivi di applicazione delle misure corrette, interamente a carico della controparte nel Paese Terzo. – Ne abbiamo parlato qui: Lo schema-guida per decidere il trasferimento di dati personali a Paesi Terzi
Infine, l’articolo 49 del GDPR include la possibilità di scambiare occasionalmente dati personali tra l’UE e Paesi Terzi. Tuttavia, questo è consentito solo in casi eccezionali e nel rispetto di rigorose condizioni.
PERCHÉ TENERE D’OCCHIO L’AUTORITHY INGLESE (ICO, INFORMATION COMMISSIONERS OFFICE)
Il governo di Boris Johnson ha chiarito che anche dopo la Brexit rimarrà possibile inviare dati personali dal Regno Unito agli Stati membri dell’Unione Europea. Questo significa che le aziende britanniche potranno trasferire i dati personali ad organizzazioni europee senza problemi. Questa dichiarazione si riferisce, però, al periodo di transizione che si è aperto il 1 ° gennaio 2021. E, come soprariportato, durerà al massimo 6 mesi, a meno che gli inglesi non ripensino a nuove regole per la tutela della Privacy. Per questo, gli esperti – e l’EDPB – consigliano di tenere d’occhio il sito dell’Autorità Garante del Regno Unito (ICO, Information Commissioner’s Office).
Per approfondimenti, consultare i seguenti link e/o riferimenti:
Autorità Garante del Regno Unito – ICO, Information Commissioner’s Office
Accordo Brexit – Autorità per la Protezione dei Dati Personali