Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione Europea ed è ufficialmente giunto al termine il processo c.d. di “Brexit”.
Quali sono le conseguenze della Brexit sotto il profilo della disciplina in materia di protezione dei dati personali?
Innanzitutto, occorre premettere che in seguito all’uscita dall’UE il Regno Unito verrà qualificato, anche ai fini del GDPR, “Paese terzo”.
Ciò avrà importanti ricadute sulle regole e condizioni che dovranno essere rispettate per poter trasferire dati personali “da” e “verso” il Regno Unito.
Come verrà regolato il trasferimento di dati personali verso il Regno Unito?
Per quanto riguarda i flussi di dati personali verso il Regno Unito occorrerà fare riferimento all’Accordo commerciale e di cooperazione siglato tra l’Unione Europea e la Gran Bretagna lo scorso 30 dicembre 2020.
Tale accordo prevede che il Regno Unito continuerà ad applicare il Regolamento europeo sulla protezione dei dati (GDPR) per un ulteriore periodo massimo di 6 mesi (ovvero fino al 30 giugno 2021).
Ne discende che, durante questo periodo, qualsiasi trasferimento di dati personali oltremanica potrà continuare ad avvenire secondo le regole del GDPR già utilizzate fino al 31 dicembre 2020 (cioè pre-Brexit) e il Regno Unito non sarà ancora considerato a tal fine un Paese terzo.
Cosa accadrà dopo il 30 giugno 2021?
In vista di tale scadenza la Commissione Europea e il Governo inglese si sono impegnati a lavorare per l’adozione di reciproche decisioni di adeguatezza che consentiranno di mantenere i flussi di dati senza interruzioni anche successivamente al periodo transitorio.
Cosa accadrà in caso di mancata adozione delle – auspicate – decisioni di adeguatezza?
In caso di mancata adozione di decisioni di adeguatezza, troveranno applicazione tutte le disposizioni del Capo V del GDPR che, per trasferire dati dall’Ue (più esattamente dal SEE, cioè dallo Spazio Economico Europeo) verso un Paese terzo, richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) o, in assenza, ammettono alcune deroghe (quali ad esempio il consenso esplicito dell’interessato, la presenza di un interesse pubblico di uno Stato membro del SEE, ecc.), seppur in via meramente residuale e secondo un approccio molto restrittivo.
L’eventuale mancato raggiungimento di un’intesa, insomma, complecherà parecchio l’import-export di dati personali.
Come verranno gestiti eventuali contenziosi o reclami transfrontalieri?
Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati nei confronti di Titolari o Responsabili del trattamento che sono stabiliti nel Regno Unito, dal 1° gennaio 2021 non sarà più applicabile il meccanismo dello “sportello unico” (c.d. one stop shop) che disciplina i contenziosi fra i paesi del SEE.
In altre parole ciò significa che le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia l’Autorità competente per lo stabilimento principale o unico nel SEE).
L’unico modo, infatti, per poter continuare a godere dei benefici dello sportello unico sarebbe quello di individuare un nuovo stabilimento principale in uno degli Stati membri del SEE.
In ogni caso, dal 1° gennaio 2021, i Titolari e i Responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2, saranno tenuti a designare un “rappresentante” nel SEE a norma dell’art. 27 del GDPR.
Quale funzione avrà tale “rappresentante”?
Tale rappresentante potrà essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR.
Resta sempre ferma la possibilità per gli interessati che si trovano in Italia – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante Privacy italiano per la tutela dei loro diritti.
Ulteriori informazioni in merito alla delicata evoluzione della normativa in materia di trasferimento di dati personali “da” e “verso” il Regno Unito dopo la Brexit potranno essere rinvenute consultando la “Nota informativa sui trasferimenti di dati ai sensi del GDPR nel Regno Unito dopo il periodo di transizione” pubblicata sul sito dell’European Data Protection Board (ultimo aggiornamento 13 gennaio 2020, disponibile al seguente link).
Anche l’ICO (Information Commissioner’s Office), cioè l’ufficio del Garante britannico per la trasparenza, il diritto all’informazione e la protezione dei dati personali ha pubblicato sul suo sito alcune FAQ sul tema (reperibili al seguente link).
