Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Brexit: quale sorte per i trasferimenti di dati personali in UK nel 2021?

11/01/2021
Maria Livia Rizzo

Proprio all’ultimo minuto (24 dicembre 2020) UE e UK hanno raggiunto l’accordo sulla Brexit: il Trade and Cooperation Agreement (Accordo di Cooperazione e Commercio).

Per il trasferimento dei dati personali questi i profili cardine:

Decisioni di adeguatezza

L’Accordo raggiunto prevede un impegno da parte di Unione Europea e UK a garantire i flussi transfrontalieri di dati per agevolare gli scambi nell'economia digitale (Articolo DIGIT.6) e a mantenere alti i livelli di protezione dei dati (Articolo LAW.GEN.4).

Tali trasferimenti, poi,  saranno regolati da decisioni di adeguatezza prese unilateralmente da ciascun Paese, dal momento che ciascuna delle parti dell’agreement che effettua il trasferimento deve rispettare le proprie norme sul data transfer.

I Titolari e i Responsabili del trattamento europei che dopo la Brexit intendano trasferire dati in UK potranno dunque effettuare tale trasferimento in forza della decisione di adeguatezza che riconoscerà che gli standard applicati da UK in tema di data protection:

  • sono essenzialmente equivalenti agli standard stabiliti dal pacchetto di protezione dati dell’UE formato:
    • dal Regolamento Generale sulla Protezione dei dati (Reg. UE 679/2016)
    • dalla Direttiva riguardante la tutela dei dati trattati dalle forze di polizia e dalle autorità giudiziarie in materia penale (Dir. UE 2016/680).
  • rispettano specifici standard aggiuntivi di protezione dei dati previsti dai pareri della Corte di Giustizia dell’Unione Europea (CGUE).

Tale “soluzione giuridica” era già in itinere: infatti è da marzo  2020 la Commissione sta lavorando alle decisioni di adeguatezza: per procedere all’adozione formale sarà necessario il parere dell’European Data Protection Board (EDPB) e il via libera degli Stati Membri.

La Bridging Clause

Cosa succede dal 1 gennaio 2021 fino alla assunzione della decisione di adeguatezza?

Per gestire questo lasso di tempo il Trade and Cooperation Agreement ha previsto una bridging clause (clausola ponte) (Articolo FINPROV.10 bis) che consente il libero flusso di dati personali dalla UE a UK fino all’entrata in vigore delle decisioni di adeguatezza per un periodo massimo di 6 mesi.

Nel corso di questo bridging period, l’accordo prevede però alcune restrizioni ai poteri di trasferimento dei dati.

Infatti la trasmissione di dati personali dall'UE al Regno Unito non sarà considerata un “trasferimento verso un Paese terzo”, a condizione che:

  • si applichi la normativa del Regno Unito in materia di protezione dei dati al 31 dicembre 2020;
  • il Regno Unito non eserciti i propri poteri di:
    • adottare disposizioni regolamentari a norma della legge Data Protection Act 2018 del Regno Unito;
    • emettere un nuovo documento che specifichi le clausole tipo di protezione dei dati;
    • approvare un nuovo progetto di codice di condotta che possa essere invocato per fornire garanzie adeguate per i trasferimenti di dati personali a un Paese terzo;
    • approvare nuovi meccanismi di certificazione che possano essere invocati per fornire garanzie adeguate per i trasferimenti di dati personali a un paese terzo;
    • approvare nuove norme vincolanti d'impresa;
    • autorizzare nuove clausole contrattuali standard;
    • autorizzare nuovi accordi amministrativi da parte dell’Autorità Garante per la protezione dei dati britannica (Information Commissioner’s Office – ICO).

Ove UK però esercitasse tali poteri, la UE non avrebbe facoltà di bloccarla.

Nel caso in cui però  la UE si opponesse a tali modifiche e la Gran Bretagna le apportasse comunque, l’efficacia della clausola ponte cesserebbe.

Dal punto di vista pratico, la clausola ponte manterrà la situazione di libero trasferimento dei dati verso l’UK sostanzialmente inalterata, in attesa della adozione da parte del riconoscimento, da parte della Commissione Europea, del Regno Unito come Paese adeguato sotto il profilo privacy.

Nell’ipotesi in cui entro i 6 mesi previsti (cioè entro il 30 giugno) la Decisione di adeguatezza non dovesse essere adottata, il trasferimento dei dati in UK verrebbe gestito alla stregua di quanto avviene per tutti gli altri Stati per i quali una adequacy decision manca.

Si dovrebbe quindi ricorrere alle clausole contrattuali standard o alle norme vincolanti di impresa o, ove queste non vengano adottate, alle consuete deroghe previste dall’art. 49, tra cui in particolare:

  • richiesta del consenso: più complesso da gestire e difficoltoso da ottenere, poiché è verosimile che l’interessato non acconsenta al trasferimento dei suoi dati in un Paese ritenuto non adeguato sotto il profilo privacy; aspetto, questo di cui è obbligatorio informarlo;
  • necessità di concludere o eseguire un contratto tra Titolare e un altro soggetto a favore dell’interessato, che, ai sensi del considerando 113 deve essere però occasionale.
Privacy
Share