Il 1° gennaio 2021 si è definitivamente completata la Brexit ed il Regno Unito è diventato un “paese terzo” rispetto alla UE anche se con accordi commerciali bilaterali che mantengono alcune condizioni preesistenti.
La disciplina del trasferimento dei dati personali extra UE nel Capo V del GDPR
Il GDPR disciplina un sistema di norme relativo ai flussi di dati personali verso e da paesi al di fuori dell’Unione Europea basato sul principio per cui, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi al di fuori dell’UE, il livello di tutela delle persone fisiche assicurato nell’Unione non deve essere compromesso (considerando 101) e il livello di protezione delle persone fisiche non deve essere pregiudicato (art. 44).
Le norme del Capo V del GDPR garantiscono il mantenimento del livello di tutela e protezione dei dati personali stabilito dal GDPR tramite alcune condizioni per il trasferimento.
Il primo ordine di casi in cui il trasferimento dei dati personali al di fuori dell’UE è ammesso si verifica quando la Commissione Europea ha emesso una decisione di adeguatezza (art. 45).
Tale decisione si basa sulla valutazione, da parte della Commissione, dell’adeguatezza del livello di protezione garantito dal paese terzo destinatario. Per effettuare tale valutazione, la Commissione prende in considerazione una serie di elementi quali per esempio il rispetto dei diritti umani e delle libertà fondamentali, le norme in materia di protezione dei dati o l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti con competenza per garantire e controllare il rispetto di tali norme.
Il secondo ordine di casi, in mancanza di una decisione di adeguatezza, si verifica quando il titolare o il responsabile del trattamento forniscono garanzie adeguate (art. 46), sempre che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Possono costituire garanzie adeguate, ad esempio, le norme vincolanti d’impresa (o BCR), le clausole tipo di protezione dei dati adottate dalla Commissione Europea o da un’autorità di controllo e approvate dalla Commissione, i codici di condotta oppure i meccanismi di certificazione.
Il terzo ordine di casi è costituto dalle “deroghe in specifiche situazioni” disciplinate dall’art. 49 GDPR applicabili quando, in mancanza di una decisione di adeguatezza o di garanzie adeguate, si verificano le condizioni ivi previste. Ad esempio sussiste il consenso esplicito dell’interessato al trasferimento proposto o vi è la necessità del trasferimento per dare esecuzione ad un contratto concluso tra l’interessato e il titolare del trattamento.
L’accordo tra Unione Europea e Regno Unito
Per considerare l’effetto della Brexit sulla protezione dei dati personali è necessario fare riferimento all’ “accordo di commercio e cooperazione tra Unione europea e Regno Unito (TCA)” concluso il 24 dicembre 2020 dopo 8 mesi di negoziati.
Ebbene tale accordo dispone che il Regno Unito continui ad applicare il GDPR per un ulteriore periodo massimo di 6 mesi.
In tale periodo il trasferimento dei dati personali verso il Regno Unito non dovrà essere considerato come trasferimento ai sensi delle disposizione del Capo V del GDPR e dunque verso un Paese Extra UE.
Durante il periodo di transizione, la Commissione Europea ed il Regno Unito, si sono impegnati ad individuare gli strumenti idonei per permettere di mantenere il flusso dei dati. In altre parole si lavorerà su reciproche decisioni di adeguatezza che consentano di mantenere i trasferimenti di dati senza interruzioni anche allo scadere del periodo transitorio di 6 mesi.
Diversamente, laddove le parti non riuscissero ad emanare le suddette decisioni di adeguatezza, dovranno applicarsi in toto le norme del Capo V del GDPR come per qualsiasi Paese Terzo.
Contenziosi e nomina di un rappresentante ex art. 27 GDPR
La Brexit avrà effetto anche sugli eventuali contenziosi con i titolari e responsabili del trattamento stabiliti nel Regno Unito.
Trattandosi di un Paese Terzo, infatti, non potrà più essere applicato il sistema dello “sportello unico” (“one stop shop”) teso a stabilire, quale referente del titolare o del responsabile di trattamento, un’unica Autorità garante europea (“Autorità capofila”), individuata in quella del territorio dove si trova la sede unica o principale del titolare o del responsabile di trattamento.
Per queste imprese, l’unico modo per poter continuare a godere del sistema dello sportello unico, sarà quello di individuare un nuovo stabilimento principale in uno Stato membro dell’Unione Europea.
Dal 1° gennaio 2021 si deve inoltre prestare attenzione all’art. 3 comma 2 che definisce l’ambito di applicazione territoriale del GDPR.
Secondo tale norma, quando un titolare del trattamento stabilito in un Paese Extra UE (in questo caso nel Regno Unito) tratta dati personali di interessati che si trovano nell’Unione Europea, si deve applicare il GDPR se le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati oppure il monitoraggio del loro comportamento.
In tali casi, inoltre, il titolare del trattamento o il responsabile del trattamento dovrà designare per iscritto un rappresentante stabilito in uno degli Stati membri in cui si trovano gli interessati salvo in alcuni casi (come quando il trattamento è occasionale). Tale rappresentante dovrà fungere da interlocutore delle autorità di controllo e degli interessati per tutte le questioni riguardanti il trattamento.
Resta sempre ferma la possibilità di rivolgersi al Garante italiano per gli interessati che si trovano all’interno nostro Paese ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito.