
GDPR e Privacy a prova di Brexit
13 Gennaio 2020
Ormai ci siamo, il conto alla rovescia è iniziato e, se non ci saranno rivoluzioni improvvise, al 31 gennaio 2020 dovremo considerare la Gran Bretagna al pari di uno Stato extra europeo.
Da parte dei britannici il feeling con l’UE non è mai stato forte e si intuisce dal fatto che non abbiano mai voluto aderire alla moneta comune.
Lo strappo definitivo però avrà grosse ripercussioni in generale, come ad esempio la vociferata fine del progetto Erasmus, ma anche in termini di protezione dei dati personali poiché i trattamenti effettuati all’interno dell’ambito GDPR andranno obbligatoriamente rivisti.
Uno tra tutti è il trasferimento di dati che ad oggi non richiede particolari attenzioni ma tra poco potrà invece rientrare nella categoria prevista dagli articoli 44 e seguenti del Capo V del Regolamento Europeo 2016/679, ovvero trasferimento di dati verso paesi terzi.
Lo scenario peggiore è quello che non prevede un accordo con l’Europa sul trasferimento (Hard Brexit) e che quindi non potrà basarsi su una decisione di adeguatezza come avviene ad esempio tra USA e UE con il Privacy Shield, ed il Titolare del trattamento dovrà quindi fornire garanzie adeguate attraverso altri strumenti individuati dal GDPR:
– Norme vincolanti d’impresa (Binding Corporate Rules)
– Clausole contrattuali tipo (Standard Contractual Clauses)
– Codici di condotta art. 40 o meccanismi di certificazione art. 42
– Deroghe specifiche che prevedono:
- il consenso dell’interessato adeguatamente informato dei rischi
- l’esecuzione di un contratto
- motivi di interesse pubblico
- accertamento, esercizio o difesa di un diritto
- tutela di interessi vitali
L’EDPB a febbraio 2019 si è espresso in merito rilasciando una scheda informativa https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en_0.pdf
su come procedere in caso di mancato accordo, chiedendo di identificare quali attività richiederanno trasferimento di dati e lo strumento appropriato da utilizzare, di inserire la specifica nel Registro dei Trattamenti e di aggiornare le informative.
Nulla cambia in caso opposto, ovvero per il flusso di dati personali che dalla Gran Bretagna entreranno in Unione Europea, dove l’ala protettrice del GDPR continuerà ad agire a tutela della privacy.
Aggiornamento BREXIT del 1 febbraio 2020 – Dal sito del Garante
“Brexit – Trasferimenti di dati
Dalla mezzanotte del 31 gennaio 2020 il Regno Unito non è più formalmente uno stato membro dell’UE.
A partire da tale data ha avuto inizio il periodo transitorio. Questo periodo, limitato nel tempo, è stato concordato nel quadro dell’accordo di recesso tra l’Unione europea e il Regno Unito che prevede l’applicazione a quest’ultimo del diritto dell’Unione, ivi comprese le disposizioni del Regolamento UE 2016/679 relativo alla protezione dei dati, fino al 31 dicembre 2020.
Alla fine del periodo transitorio, i trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui all’art. 46 del Regolamento UE 2016/679 (in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono comunque utilizzare le deroghe di cui all’art. 49 del Regolamento a determinate condizioni), salva l’adozione da parte della Commissione europea di una decisione che riconosca che il Regno Unito garantisce un livello di protezione adeguato (art. 45 del Regolamento UE 2016/679)”.