Come gestire il trasferimento di dati da e per il regno Unito in caso di Brexit senza deal, rispettando il GDPR? Un problema cui hanno dato una risposta l’organo di Bruxelles Edpb – European data protection board (Comitato europeo per la protezione dei dati) e il Garante della Privacy italiano, che hanno divulgato un vademecum con cinque azioni utili da rispettare per non commettere errori.
Un prospetto rivolto ad aziende private ed enti pubblici per far fronte all’eventuale situazione che potrebbe presentarsi. I cinque punti sono parte di una nota informativa che il Comitato ha emanato nei giorni scorsi proprio per spiegare il da farsi.
Precisazioni importanti perché, come spiegato dal Garante europeo per la privacy, Edps, Giovanni Buttarelli, che il 26 febbraio 2019 ha presentato il report annuale 2018, si è aperta una nuova era in materia di privacy con l’introduzione del GDPR, che ha diffuso una maggior consapevolezza sui diritti in materia, creando in Europa un quadro normativo forte e chiaro. Proprio sottolineando la collaborazione con l’Edpb, il Garante ha evidenziato come ora si punti all’applicazione della protezione dei diritti.
Indice degli argomenti
Trasferire dati verso l’UK in caso di Brexit
Dalla mezzanotte del 30 marzo il Regno Unito diventerà un Paese terzo, in assenza di un accordo con l’UE. Il trasferimento di dati verso il Regno Unito secondo le disposizioni dovrà essere basato su:
- clausole di protezione dei dati standard o clausole di protezione dei dati ad hoc,
- norme aziendali vincolanti,
- codici di condotta, meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche,
- in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.
Cinque azioni utili per il trasferimento dei dati verso l’UK
Quando si trasferiscono dati verso il Regno Unito, il Garante e l’Edpb consigliano di seguire queste cinque indicazioni:
- identificare quali attività di trattamento implicheranno un trasferimento di dati personali nel Regno Unito,
- determinate lo strumento di trasferimento dati adatto alla vostra situazione,
- attuare lo strumento di trasferimento dei dati scelto per essere pronto per il 30 marzo 2019,
- indicare nella documentazione interna che i trasferimenti saranno effettuati nel Regno Unito,
- aggiornare l’informativa sulla privacy di conseguenza per informare gli individui.
Dati in arrivo dall’UK ai Paesi dell’UE
Come riporta il Garante della privacy, “secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà anche in caso di Brexit senza accordo con l’UE”.
Dunque in questo senso, per il trasferimento dei dati dal Regno Unito non sono previste modifiche.
Pizzetti: “Specificazioni utilissime”
Il giurista Francesco Pizzetti, ex presidente dell’Autorità Garante per la privacy, commenta: “Le specificazioni pubblicate dal Garante su alcune misure da adottare qualora si vogliano trasferire dati da UE a UK (e quindi anche da Italia a UK) nel caso di Brexit senza deal sono utilissime. Sopratutto perché richiamano l’attenzione su un punto essenziale. Senza deal l’uscita dalla UE comporta l’immediata e integrale applicazione delle norme relative ai trasferimenti di dati all’estero, cioè verso Paesi che non sono UE. Sono le norme, molto dettagliate, contenute nel Capo V del GDPR”.
Pizzetti aggiunge: “Certamente la Commissione procederà rapidamente a dare la adequacy al Regno Unito, anche in ragione della legge di protezione dati UK adottata proprio in previsione della Brexit. Ma fino alla decisione della Commissione, e sempre che la UK la chieda, certamente il problema del trasferimento dati da UE a Regno Unito costituirà uno dei problemi più rilevanti negli scambi di ogni tipo fra UK e UE”.
I problemi per le aziende
Guglielmo Troiano di P4I spiega: “In relazione al no-deal Brexit le problematiche per le aziende italiane (in generale stabilite in UE) potranno essere in relazione solo al flusso di dati dall’Italia al Regno Unito e non da UK all’Italia. Se le aziende italiane sono società capogruppo con filiali in UK, da cui prelevano dati di clienti o dipendenti e se li portano in Italia non dovrebbe sussistere alcun problema, almeno non in relazione al tema no-deal Brexit ma, al più, in relazione alle leggi UK quando e se verranno modificate in futuro”.
Se, infatti, “le leggi UK prevederanno qualcosa di specifico in relazione all’esportazione dei dati raccolti in UK – precisa Troiano -, allora se ne dovranno preoccupare anche le aziende italiane. Al momento questo limite non sussiste, quindi da UK verso Italia non ci sono vincoli. Quando invece il flusso dei dati è all’inverso, dall’Italia verso UK, a partire dal 30 marzo varrà quanto è sempre stato (e ribadito ora dal Garante italiano) per le Third Country (non UE) che non godono di una decisione di adeguatezza, quindi occorreranno, alternativamente, clausole contrattuali standard, accordi infragruppo, codici di condotta e meccanismi di certificazione. Alcune deroghe sono previste in casi specifici”.
