,

Privacy: come prepararsi alla Brexit

come prepararsi alla brexit

La Brexit potrebbe comportare cambiamenti sostanziali nella strategia di compliance privacy delle società, soprattutto quelle con sedi nel Regno Unito o che scambiano dati personali con società basate in U.K. . Il Garante privacy lo scorso 18 febbraio 2019 ha reso noto che il Comitato Europeo per la Protezione dei Dati (EDPB) in una recente nota informativa ha chiarito quali conseguenze potrebbe avere su tale flusso di dati personali l’ uscita del Regno Unito dall’UE senza accordo. Ormai è ufficiale, la Brexit avverrà il 31 marzo 2020, per di più senza un accordo (cosiddetto “No Deal”). Vediamo i principali impatti operativi per le aziende e come prepararsi allo scenario di Brexit senza accordo con l’Ue (“Hard Brexit”) anche alla luce dei suggerimenti del Garante.

Il trasferimento verso paesi terzi secondo il GDPR

Il GDPR disciplina il trasferimento verso i paesi terzi al Capo V (artt. 44-50) e in relazione ai flussi di dati al di fuori dell’Unione europea e dello spazio economico europeo conferma l’approccio previgente, prevedendo che tali flussi sono vietati, in linea di principio, a meno che intervengano specifiche garanzie quali una decisione di adeguatezza da parte della Commissione europea o che si adottino gli strumenti alternativi che il Regolamento Privacy elenca.

La situazione attuale

Il Regno Unito ha attualmente a disposizione molteplici strumenti che regolano il trattamento dei dati personali anche al di fuori dell’UE, incluso il GDPR. Inoltre il Regno Unito è parte dei sistemi di condivisione delle informazioni tra forze dell’ordine, del sistema europeo di informazione sui casellari giudiziari e del sistema di controllo inerente ai nomi dei passeggeri di voli aerei. Il GDPR e i sistemi di condivisione delle informazioni sopra menzionati facilitano il trasferimento dei dati tra U.K. e altri stati membri dell’UE e fino all’uscita ufficiale dall’UE le normative comunitarie in materia di protezione dei dati resteranno pienamente applicabili ed efficaci.

Le alternative per il trasferimento di dati in U.K. in caso di Hard Brexit

Come precisato dal Gruppo dei Garanti europei (EPDB) nella nota informativa emessa nel Febbraio 2019, e come ribadito dal Garante italiano, in assenza di un accordo fra il Regno Unito ed i Paesi dello Spazio Economico Europeo (ossia UE + Norvegia, Liechtenstein, Islanda), a seguito della Brexit il Regno Unito diverrà a tutti gli effetti un paese terzo.

In una nota tecnica il governo britannico ha tenuto a chiarire che il trasferimento dei dati tra UK e UE non subirà nessuna limitazione o blocco, tuttavia secondo una comunicazione ufficiale dello scorso Novembre della Commissione europea alle istituzioni europee, “l’adozione di una decisione di adeguatezza non fa parte del piano di contingenza della Commissione“.

Allo stato attuale pertanto è di fatto possibile che il Regno Unito non benefici di una decisione di adeguatezza da parte dell’Unione e conseguentemente, a partire dalla Brexit ufficiale, il trasferimento di dati personali verso U.K. dovrà basarsi su uno degli strumenti giuridici alternativi previsti dal GDPR: clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc; norme vincolanti d’impresa; codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare a determinate condizioni, alcune deroghe quali la necessità del trasferimento per importanti motivi di interesse pubblico o per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile del trattamento.

Considerando il breve lasso di tempo prima della Brexit, i Garanti europei riconoscono che le clausole-tipo di protezione dei dati costituiscono uno strumento di immediata applicabilità: tali clausole, adottate dalla Commissione europea e dalle autorità di controllo nazionali, possono essere incorporate in un contratto più generale e prevedono garanzie adeguate per legittimare il trasferimento di dati personali verso un Paese terzo.  Vi si possono aggiungere clausole ulteriori purché non in conflitto: ogni ulteriore modifica o emendamento ne può comportare la conversione in clausole di protezione dati ad-hoc, da sottoporre al vaglio delle autorità di controllo nazionali.

OPERATIVAMENTE

In previsione dell’uscita del Regno Unito dall’Unione Europea, in caso di No Deal è consigliabile che le aziende si preparino adeguatamente seguendo i 5 step indicati dal Garante:

1. Identificazione delle attività di trattamento che implicano o implicheranno un trasferimento di dati personali verso il Regno Unito.

2. Individuazione di uno strumento alternativo appropriato per il trasferimento dei dati personali verso il Regno Unito.

3.  Implementazione dello strumento scelto per il trasferimento dati entro il 30 marzo 2019.

4. Indicazione dei trasferimenti di dati personali verso il Regno Unito nella documentazione interna (es: registro dei trattamenti).

5. Aggiornamento delle informative sulla protezione dei dati.

 

 

Se questo suggerimento ti è stato utile condividilo sui tuoi Social Media, Be Influent! 

Non perderti le ultime news su LegalTech, Privacy e CyberSecurity, segui TechnoLawgy  Twitter –  Fb o Telegram  

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.