Brexit: in extremis messa una toppa per il trasferimento dei dati
Il periodo di transizione è ormai alle spalle. Dal 1° gennaio scorso, il Regno Unito è da considerarsi Paese Terzo in riferimento alla normativa di cui al Regolamento 2016/679.Ormai da tempo, l’ICO (autorità indipendente del Regno Unito) ha pubblicato Linee Guida relative alla fine del periodo di transizione. Dal 3 dicembre è disponibile un webinar con le relative diapositive, strumento che si è aggiunto alle linee guida per grandi imprese, per le forze dell’ordine, per le pmi e le, ormai, consuete FAQ relative alle domande frequenti concernenti la fine del periodo di transizione.
(Nella foto: 'Avv. Domenico Battaglia, delegato Federprivacy nella provincia di Bolzano)
La normativa applicabile post Brexit: Come noto, dal 1° gennaio ’21, il Regolamento UE 2016/679 non sarà più applicabile nel Regno Unito. La normativa applicabile per il tema di trattamento dei dati è ora costituita dal Data Protection Act 2018, legge nazionale originariamente emanata nel 1998, poi rivista in concomitanza dell’emanazione del Regolamento UE proprio per normare quanto allora di competenza del governo nazionale. Oggi, terminato il periodo transitorio, il Data Protection Act 2018 costituisce la normativa di riferimento nel Regno Unito, affiancata al c.d. UK Gdpr ossia, in parole povere, le norme del regolamento UE parzialmente emendate in vista dell’applicazione nel solo Regno Unito.
Nell’accordo di recesso di data 19 ottobre 2019, è stabilito che nel Regno Unito il Gdpr UE trovava applicazione in relazione ai trattamenti dei dati personali degli interessati residenti o stabiliti al di fuori del Regno Unito, a condizione che i dati personali fossero stati trattati nel Regno Unito ai sensi del diritto dell'Unione prima della fine del periodo di transizione. In pratica, per i dati trattati nel Regno Unito ed acquisiti da un paese SEE prima del 31 dicembre 2020, devono applicarsi le norme del Gdpr UE.
Il comma due dell’articolo 71, però, prevedeva che in caso di decisioni di adeguatezza applicabili ai sensi degli articoli 45, paragrafo 3, del regolamento (UE) 2016/679 o articolo 36, paragrafo 3, della direttiva (UE) 2016/680, il comma 1 di questo articolo non si sarebbe applicato.
Sennonché, a fine anno 2020, il processo di adeguatezza non è ancora completato e nessuna decisione di adeguatezza è stata emanata da parte della Commissione (art. 45 Gdpr).
L’annuncio di fine 2020 - E' arrivato come manna dal cielo l’annuncio che nell’accordo di fine 2020 tra UE e UK, sono state previste disposizioni relative al trasferimento dei dati tra i paesi SEE (paesi UE più paesi EFTA) ed il Regno Unito. In parziale riforma dell’articolo 71, invero, nelle c.d. disposizioni finali dell’accordo UE – UK di fine anno 2020, viene previsto un ulteriore periodo transitorio di sei mesi nel corso del quale il trasferimento dei dati potrà avvenire liberamente sino a quando non verranno adottate le ormai (imprescindibili) decisioni di adeguatezza.
Ricordiamo, infatti, che ai sensi dell’articolo 45 Gdpr il trasferimento di dati personali verso un Paese Terzo è ammesso se la Commissione abbia deciso che lo stesso possa garantire un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
L’attuale situazione normativa: a questo punto, considerando anche le novità di fine anno 2020, il contesto può essere riassunto come di seguito.
Un’ azienda con sede nel Regno Unito, che non tratta dati di interessati dello spazio SEE, non deve fare molto per rispettare il Gdpr UK ed il Data Act 2018. Ovviamente dovrà rispettare tali normative nazionali, rivedendo marginalmente le informative sulla privacy e la relativa documentazione per identificare eventuali modifiche minori, da apportate ora che il periodo di transizione è terminato.
Al contrario, le aziende del Regno Unito che trattano dati di interessati dello spazio SEE dovranno adottare nuove e diverse misure per continuare a trattare questi dati.
Ricordando quanto stabilito dall’articolo 71 dell’accordo di recesso di data 19 ottobre 2019, dal 01 gennaio 2021 i trattamenti dei dati personali acquisiti prima di tale date e relativi ad interessati residenti nello spazio SEE dovranno essere conformi alle norme del Gdpr UE.
Per quanto riguarda, invece, i trasferimenti dei dati personali, l’accordo di fine anno ha concesso una moratoria di sei mesi, permettendo temporaneamente il libero trasferimento dei dati tra UE e UK, proprio in attesa delle definitive decisioni di adeguatezza.
In merito, l’ICO comunque, aveva già indicato – su indicazione del governo nazionale – che i trasferimenti da UK ai paesi SEE non sarebbero stati limitati. Quindi, per i trasferimenti dei dati dal Regno Unito al SEE non si sarebbero dovute adottare nuove misure. Peraltro, nello stesso accordo di fine anno, il Regno Unito ha già anticipato una decisione adeguatezza temporanea, in vista di un provvedimento definitivo relativamente ai paesi SEE.
Inoltre, il governo nazionale del Regno Unito aveva assunto disposizioni che consentono, sin da ora, il trasferimento di dati personali a tutti i paesi che, al 31 dicembre 2020, erano coperti da una decisione di adeguatezza della Commissione europea (Andorra, Argentina, Canada (solo organizzazioni commerciali), Isole Fær Øer, Guernsey, Isola di Man, Israele, Giappone – solo organizzazioni del settore privato – Jersey, Nuova Zelanda, Svizzera e Uruguay) così come vi sono disposizioni che consentono di continuare a utilizzare eventuali clausole contrattuali standard dell'UE, valide al 31 dicembre 2020, nonché decisioni le c.d. norme vincolanti d’impresa già assunte.
Quel che destava, invece, non poche preoccupazioni erano i trasferimenti dei dati dallo spazio SEE verso il Regno Unito.
Come già detto, in extremis, si è messa una toppa. La più classica delle soluzioni a cui ci abituato la politica, ahinoi l’ennesimo rinvio, in attesa della soluzione definitiva peraltro già indicata nello stesso accordo di recesso di ottobre 2019, così come più volte auspicata dall’ICO e, come, nuovamente individuata nell’accordo di fine 2020: una decisione di adeguatezza presa dalle Commissione nei confronti del Regno Unito.
Ipotizzando che neppure al termine di questo semestre di proroga nulla venga fatto, la stessa ICO invita le pmi, così come le più grandi realtà, a prepararsi per dover utilizzare clausole contrattuali standard con il mittente dei dati personali, addirittura fornendo format per i contratti da stipulare tra Titolare e Titolare o tra Titolare e Responsabile.
Inoltre, la stessa ICO invita i gruppi societari multinazionali a prendere in considerazione l'uso delle norme vincolanti d’impresa esistenti per effettuare trasferimenti da e verso il Regno Unito.
È importante, però, rammentare che sia norme vincolanti d’impresa così come le clausole contrattuali standard rientrano nel più ampio ambito del trasferimento soggetto a garanzie adeguate ossia trasferimento soggetto a valutazione di adeguatezza che rimane sempre in capo al Titolare del trattamento. È, quindi, onere del Titolare vagliare che vi siano effettivamente garanzie adeguate e che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi (articolo 46 Gdpr).
A questo proposito, rammentando anche le indicazioni contenute nelle FAQ EDPB del 23 luglio 2020 (relative alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 – Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems), l’utilizzazione delle clausole contrattuali così come le norme vincolanti d’impresa, non esonera di per sé il Titolare dalla necessaria valutazione d’impatto ex art. 35 Gdpr.
Per queste ragioni, riassumendo le considerazioni di cui sopra, trascorso questo ulteriore periodo di transizione, per i trasferimenti dai paesi SEE verso il Regno Unito, in mancanza di decisioni di adeguatezza, i trasferimenti dei dati verso il Regno Unito potranno essere operati in forza dell’articolo 46 o 47 Gdpr, utilizzando clausole contrattuali standard o norme vincolanti d’impresa, previa necessaria valutazione d’impatto ex art. 35 Gdpr.