Articoli
04/02/2021
Privacy & IT Compliance - Internazionalizzazione

Brexit: quali conseguenze per i dati personali?

  1. Il Regno Unito quale Paese Terzo

Come noto, dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea (l’“UE”), essendosi completato il processo cosiddetto di “Brexit”.

Pertanto, il Regno Unito, ai fini della disciplina sulla protezione dei dati e dell’applicazione del Regolamento (UE) n. 2016/679 (il “GDPR”) diventa, per effetto della Brexit, un Paese Terzo ed il trasferimento dei dati personali verso il Regno Unito diviene soggetto alle disposizioni del GDPR che regolano il trasferimento dei dati personali verso Paesi Terzi.

Si rammenta, infatti, che il GDPR si applica anche al trattamento dei dati personali effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’UE quando le attività di trattamento riguardano:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’UE[1]. Tale previsione del GDPR mira infatti ad assicurare una tutela globale dei diritti degli interessati nell’UE e di stabilire, in termini di requisiti sulla protezione dei dati, una parità di condizioni per le imprese attive sui mercati UE, in un contesto caratterizzato da flussi di dati su scala mondiale.

Al fine di fugare ogni dubbio, perciò, sia l’European Data Protection Board (l’“EDPB”) che l’Autorità Garante per la Protezione dei Dati Personali (il “Garante Privacy”) hanno cercato di chiarire meglio quali siano le conseguenze della Brexit sul trattamento dei dati personali.

 

  1. La nota informativa dell’EDPB

L’EDPB, nella sua “Information note on data transfers under the GDPR to the United Kingdom after the transition period” adottata il 15 dicembre 2020, e successivamente modificata il 13 gennaio 2020[2] chiarisce che, per quanto riguarda i flussi di dati personali verso il Regno Unito, che per effetto della Brexit è diventato un Paese Terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e UE (l’“Accordo”)[3].

Tale Accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il GDPR per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021).

Di conseguenza, in questo periodo, qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un Paese Terzo.

Tuttavia, questo significa che, dopo il 30 giugno 2021 ogni trasferimento di dati personali dall’UE al Regno Unito potrà considerarsi legittimo soltanto se effettuato in ottemperanza a quanto previsto nel Capo V del GDPR, vale a dire in presenza di una decisione della Commissione europea (art. 45 del GDPR) ovvero delle altre garanzie adeguate previste dall’art. 46 del GDPR (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta, etc.) per trasferire dati dall’UE (più esattamente dal SEE, lo Spazio Economico Europeo) verso un Paese Terzo non adeguato, oppure in presenza delle deroghe che l’art. 49 del GDPR ammette in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, etc.), ma solo in via residuale e secondo un approccio molto restrittivo.

Inoltre, l’EDPB invita a considerare che, in ottemperanza alle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal dataqualora i dati personali siano trasferiti nel Regno Unito sulla base delle garanzie di cui all’articolo 46 del GDPR (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta, etc.), i titolari e i responsabili del trattamento potrebbero essere chiamati ad adottare eventuali misure supplementari di tali garanzie di trasferimento per garantire un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nello Spazio Economico Europeo (il “SEE”), nel caso in cui la legge del Regno Unito non garantisca l’effettivo rispetto di tale livello di protezione. Giova, infatti, ricordare, che le Recommendations 01/2020 sopra citate sono state adottate dall’EDPB[4] in seguito alla nota sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea[5] al fine di assistere i titolari e i responsabili del trattamento che agiscono in qualità di data exporter verso Paesi Terzi, i quali, a seguito della sentenza Schrems II, sono tenuti a verificare, caso per caso, se la legge del Paese Terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nel SEE e ad adottare eventuali misure supplementari/integrative delle garanzie di trasferimento previste dal Capo V del GDPR per garantire l’effettivo rispetto di tale livello di protezione, qualora le sole garanzie di trasferimento non siano sufficienti. A tal fine, le Recommendations 01/2020 descrivono efficacemente le attività che i titolari e i responsabili devono eseguire, sulla base dei principi espressi dalla citata sentenza Schrems II, inizialmente, per mappare il complesso dei trasferimenti effettuati al di fuori del SEE e, in seguito, per valutare la necessità o meno di adottare misure supplementari per trasferire i dati conformemente al diritto dell’UE, a maggior tutela dei soggetti interessati.

Infine, l’EDPB rammenta che, in caso di trasferimento, in ogni caso, i titolari e/o i responsabili del trattamento dovranno ottemperare anche ad altri obblighi derivanti dal GDPR, con particolare riferimento alla necessità di aggiornare i registri delle attività di trattamento (art. 30 del GDPR) e le informative sul trattamento dei dati personali (artt. 13 e 14 del GDPR) al fine di menzionare i trasferimenti di dati verso il Regno Unito.

 

  1. I chiarimenti del Garante Privacy

In aggiunta a quanto evidenziato dall’EDPB, il Garante Privacy rileva[6] che dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR sono tenuti a designare un “rappresentante” nel SEE a norma dell’art. 27 del GDPR.

In particolare, trattasi di una figura incaricata dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento al fine di garantire il rispetto del GDPR.

Con riferimento, infine, ad eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese Terzo non sarà più applicabile il meccanismo dello “sportello unico” (c.d. one stop shop) che disciplina questi contenziosi fra i Paesi del SEE[7].

In altri termini, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal GDPR. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.

Infine, il Garante Privacy ribadisce, in ogni caso, la possibilità per gli interessati che si trovino all’interno del territorio italiano – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante Privacy per la tutela dei loro diritti.

 

  1. Possibili sviluppi futuri

Pertanto, anche alla luce dell’impegno assunto dalla Commissione europea e dal Governo UK in base all’Accordo, si auspica che le stesse lavorino, entro il termine di scadenza del periodo “transitorio” sopra ricordato (vale a dire, il 30 giugno 2021), su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati dall’UE al Regno Unito senza interruzioni.

Se così non fosse, infatti, ai trasferimenti di dati si applicheranno tutte le disposizioni del Capo V del GDPR, con tutte le conseguenze del caso.

 

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Ilaria Todaro e Claudia Colamonaco.

 

 

 

[1] Articolo 3 del GDPR.
[2] L’“Information note on data transfers under the GDPR to the United Kingdom after the transition period” dell’EDPB è scaricabile al seguente link: https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-kingdom-after_en.
[3] L’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e UE è scaricabile al seguente link: https://ec.europa.eu/info/relations-united-kingdom/eu-uk-trade-and-cooperation-agreement_en. Tale Accordo ha carattere provvisorio, in attesa della pronuncia da parte del Parlamento europeo e della successiva adozione formale da parte del Consiglio dell’UE, per l’entrata in vigore definitiva.
[4] Si rammenta che il 21 dicembre 2020 si è chiusa la consultazione pubblica relativa alle Recommendations 01/2020 di cui si attende, ad oggi, la pubblicazione in via definitiva, in seguito alla quale esse saranno immediatamente applicabili.
[5] Come noto, con la sentenza c.d. Schrems II, la Corte di Giustizia dell’Unione Europea ha esaminato la validità della Decisione 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA (cd. “Privacy Shield”), dichiarandone l’invalidità.
[6] La nota del Garante Privacy è consultabile al seguente link: https://www.garanteprivacy.it/temi/trasferimento-dati-estero#brexit.
[7] Il meccanismo dello sportello unico (c.d. one-stop-shop), introdotto per la prima volta con il GDPR, permette ad un’Autorità (c.d. Autorità capofila) di rendere un’unica decisione in caso di trattamenti da parte di uno stesso organo in più Stati membri. L’articolo 56, paragrafo 1, del GDPR, infatti, stabilisce che “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60”. A sua volta, l’articolo 60 del GDPR detta una procedura specifica di cooperazione tra le Autorità di controllo interessate e l’Autorità di controllo capofila. Essa ha l’obbligo di comunicare alle Autorità interessate le informazioni utili sulla questione così come quello di presentare un progetto di decisione per ottenere il loro parere. L’Autorità capofila può altresì richiedere la collaborazione delle Autorità interessate. Entro uno specifico termine, le Autorità interessate possono presentare obiezioni riguardo al progetto di decisione. In tal caso, l’Autorità capofila presenterà una nuova decisione che tenga conto delle obiezioni oppure, se non riterrà le obiezioni motivate o pertinenti, attiverà il meccanismo di coerenza di cui all’articolo 63 del GDPR ovvero potrà adire l’EDPB.

Ricevi i nostri aggiornamenti