Con la Brexit il Regno Unito ha lasciato definitivamente l’Unione Europea dal 1° gennaio 2021. Quali sono le conseguenze per la protezione dei dati personali secondo il Reg. (UE) 679/16 – GDPR?
Il trasferimento di dati verso il Regno Unito
Dal 1° luglio 2021 il Regno Unito diventerà a tutti gli effetti un Paese terzo, ai sensi del Reg. (UE) 679/16 – GDPR. Per quanto riguarda i flussi di dati, è necessario fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 tra Regno Unito e Unione Europea. L’Accordo prevede, infatti, un periodo di transizione fino al 30 giugno 2021 durante il quale il Regolamento europeo sulla protezione dei dati continuerà a rimanere applicato dal Regno Unito; fino a fine giugno la comunicazione di dati verso tale Paese non sarà considerata un trasferimento di dati verso un Paese terzo ma si applicheranno le stesse regole valevoli al 31 dicembre 2020.
Nel frattempo l’Unione Europea e il Regno Unito stanno lavorando per adottare decisioni di adeguatezza che consentano il trasferimento di dati senza interruzioni anche successivamente al termine previsto del 30 giugno 2021. La decisione di adeguatezza emanata dall’UE costituirebbe una base giuridica valida per trasferire dati personali nel Regno Unito.
Nel caso in cui ciò non fosse possibile, dovranno essere applicate le disposizioni del Capo V del Reg. (UE) 679/16 che richiedono, ai fini del trasferimento di dati dall’UE verso un Paese terzo non adeguato, idonee garanzie come, ad esempio, clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni o codici di condotta.
In assenza di garanzie adeguate, il trasferimento sarà ammesso sulla base di specifiche deroghe, ma esclusivamente in via eccezionale e in modo limitato. L’art. 49 del Reg. (UE) 679/16 prevede, infatti, che in assenza di garanzie adeguate, il trasferimento di dati verso Paesi extra UE è ammesso, ad esempio, in caso di:
- consenso esplicito dell’interessato, previa informazione in merito al trattamento e ai possibili rischi legati al trasferimento dei dati;
- necessità di trasferimento dei dati ai fini dell’esecuzione o conclusione di un contratto stipulato tra il titolare e l’interessato o all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- importanti motivi di interesse pubblico;
- necessità di accertare, esercitare o difendere un diritto in sede giudiziaria;
- necessità di tutelare gli interessi vitali dell’interessato o di altre persone.
Obblighi e diritti
In caso di reclami transfrontalieri o contenziosi in ambito di protezione di dati, i titolari o responsabili del trattamento con sede nel Regno Unito dal 1° gennaio 2021 non possono più beneficiare del meccanismo di “sportello unico” (one stop shop) realizzato allo scopo di disciplinare i contenziosi fra i Paesi dello Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein e Islanda), rinunciando alla possibilità di rapportarsi con un’unica Autorità, l’Autorità competente per lo stabilimento principale o unico nel SEE.
Inoltre, i titolari o responsabili del trattamento con sede nel Regno Unito cui si applica il Reg. (UE) 679/16 dal 1° gennaio 2021 sono tenuti a nominare un “rappresentante” nel SEE secondo quanto previsto dall’art. 27 che potrà essere contattato dall’Autorità di controllo e dalle persone interessate in merito alle attività di trattamento dei dati personali. Rimane la possibilità per gli interessati con sede nello SEE di rivolgersi al Garante per la protezione dei dati personali per la tutela dei propri diritti nell’ambito di trattamento dei dati personali da parte di titolari o responsabili del trattamento residenti nel Regno Unito.
Attendiamo dunque gli sviluppi da parte dell’UE in merito alle decisioni di adeguatezza che consentano il trasferimento di dati verso il Regno Unito senza interruzioni e senza ulteriori difficoltà.
Fonte: Garante per la protezione dei dati personali “Brexit: il punto sulle conseguenze per la protezione dei dati” – Dicembre 2020