Il Garante Privacy ha pubblicato il 18 febbraio una nota redatta dal Comitato Europeo per la Protezione dei Dati (EDPB) del 12 febbraio scorso. Si tratta di una importante presa di posizione sui flussi di dati personali verso la Gran Bretagna, in vista della sempre più probabile uscita di quel Paese dall’Unione Europea senza un accordo (cosiddetta “Hard Brexit”).
Il Comitato ha voluto dichiarare che, in assenza di un accordo, il Regno Unito diventerà un paese terzo dalla mezzanotte – ora di Roma – del 30 marzo 2019. Dal testo della nota, la Gran Bretagna sarà da intendersi paese terzo avente una normativa data protection priva di valutazione favorevole da parte dei Garanti Europei.
Di conseguenza:
i trasferimenti di dati personali dal SEE verso il Regno Unito non saranno più liberi e privi di formalità, ma dovranno basarsi su clausole-tipo di protezione dei dati o altre garanzie adeguate.
COSA FARE
Il titolare del trattamento deve:
- identificare quali attività di trattamento implicano un trasferimento verso il Regno Unito;
- individuare per questi trattamenti lo strumento appropriato per assicurarsi di poter continuare a trasmettere dati in UK. Tra questi strumenti ricordiamo:
- contratto scritto tra la società e il destinatario dei dati in UK che contenga le clausole-tipo standard vigenti;
- clausole specifiche ottenute modificando quelle tipo e quindi sopposte a giudizio dell’autorità in fase di verifica
- Binding Corporate Rules;
- In mancanza di uno dei precedenti, avvalersi di una delle soluzioni in deroga qui di seguito riportate;
- perfezionare entro il 30 marzo 2019 lo strumento scelto (o individuare una deroga al divieto di trasferimento);
- aggiornare le informative agli interessati.
DEROGHE AL DIVIETO DI TRAFERIMENTO
Sarà possibile continuare a trasferire dati verso il Regno Unito anche in assenza di una delle condizioni di cui al punto 2, solo se:
- l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi;
- il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- il trasferimento sia necessario per importanti motivi di interesse pubblico;
- il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- in assenza delle deroghe di cui sopra solo se il trasferimento non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.
Nulla dovrebbe cambiare per i trasferimenti di dati in senso opposto (dal Regno Unito allo Spazio Economico Europeo, tra cui l’Italia), secondo l’attuale posizione del governo britannico.
Lo scenario sopra riportato si realizzerà solo in caso di Hard Brexit, è tuttavia necessario che le aziende siano pronte ad affrontare tale situazione.