Nell’ipotesi di uscita dall’Unione europea in assenza di un accordo (c.d. No-Deal Brexit), il Regno Unito diverrà a tutti gli effetti un Paese Terzo a decorrere dalle ore 00:00 CET del 30 marzo 2019. In previsione di tale scenario, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, EDPB) ha pubblicato le linee guida a cui devono attenersi i titolari ed i responsabili dei trattamenti che intendano trasferire dati personali nel Regno Unito in conformità al Regolamento (UE) 2016/679 GDPR.
Le linee guida prevedono le seguenti cinque azioni che dovranno essere implementate entro il 30 marzo 2019 in ipotesi di No-Deal Brexit:
- identificare i trattamenti che implicano il trasferimento di dati personali dallo Spazio Economico Europeo al Regno Unito;
- determinare la base giuridica appropriata per procedere al trasferimento dei dati personali nel rispetto del GDPR;
- implementare la base giuridica individuata entro il 30 marzo 2019;
- aggiornare il registro dei trattamenti specificando quali dati vengono trasferiti nel Regno Unito;
- aggiornare le informative privacy e trasmetterle agli interessati.
Basi giuridiche alternative ai sensi degli artt. 46-47 GDPR
Qualora entro il 30 marzo 2019 la Commissione europea non abbia emanato una decisione attestante l’adeguatezza del Regno Unito ai sensi dell’art. 45 GDPR, i soggetti che intendono trasferirvi dati personali dovranno implementare una base giuridica adeguata tra le seguenti opzioni alternative:
- Standard Data Protection Clauses (SDPCs): è possibile sottoscrivere con la controparte, alla quale vengono trasferiti i dati nel Regno Unito, SDPCs approvate dalla Commissione europea e contenute in una delle seguenti decisioni 2001/497/CE, 2004/915/CE, 2010/87/UE. A tale riguardo, l’EDPB evidenzia che le SDPCs non possono essere modificate, dovendo essere sottoscritte così come approvate dalla Commissione europea;
- Binding Corporate Rules (BCRs): i titolari o responsabili che sono parte di un gruppo multinazionale, possono aderire alle BCRs autorizzate nella vigenza della Direttiva 95/46/CE. Ove non si disponga di BCRs già autorizzate, si dovrà richiedere ex novo l’autorizzazione all’Autorità nazionale competente previo parere dell’EDPB;
- “Codici di condotta” e “meccanismi di certificazione”: si tratta di due nuovi strumenti introdotti dall’art. 47 GDPR, che costituiscono una valida base giuridica alternativa qualora vengano implementati con l’impegno vincolante delle parti ad applicare adeguate garanzie a tutela dei diritti degli interessati.
Interpretazione restrittiva delle deroghe previste dall’art. 49 GDPR
Qualora non sia praticabile alcuna delle basi giuridiche menzionate al paragrafo che precede, è possibile trasferire i dati personali nel Regno Unito avvalendosi in via residuale di una delle deroghe sancite dall’art. 49 GDPR che – in quanto tali – devono essere interpretate in senso restrittivo. Tra le fattispecie contemplate dall’art. 49 GDPR, l’EDPB evidenzia le seguenti deroghe:
- il caso in cui l’interessato abbia esplicitamente acconsentito al trasferimento, dopo essere stato informato dei possibili rischi dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- il caso di trasferimento necessario all’esecuzione di un contratto tra interessato e titolare;
- il caso di trasferimento necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare ed un'altra persona a favore dell'interessato;
- il caso in cui il trasferimento sia necessario per preminenti motivi di interesse pubblico.
Maggiori delucidazioni sull’ambito di applicazione delle deroghe sono contenute nelle Linee Guida EDPB sull’art. 49 GDPR.
Strumenti particolari per le autorità pubbliche
Le autorità pubbliche possono avvalersi di ulteriori basi giuridiche ad esse particolarmente confacenti, fra le quali l’EDPB menziona:
- gli accordi amministrativi e gli accordi bilaterali/multilaterali internazionale, dotati di efficacia vincolante per le parti contraenti;
- i protocolli di intesa che devono attribuire diritti effettivi agli interessati ed essere inoltre approvati dalle competenti Autorità nazionali previo parere dell’EDPB.
In via residuale, anche le pubbliche autorità possono avvalersi delle ipotesi derogatorie previste dall’art. 49GDPR. In aggiunta, le pubbliche autorità penali possono avvalersi delle previsioni degli artt. 37-38 della Direttiva (UE) 2016/680, c.d. Direttiva Polizia attuata dall’Italia con il D.Lgs. 51/2018.
Trasferimento dei dati personali dal Regno Unito allo SEE
Quanto all’ipotesi inversa di trasferimento dei dati dal Regno Unito allo SEE, il Governo britannico ha assicurato che anche nel caso di un No-Deal Brexit continuerà ad applicarsi il regime attuale di libera circolazione dei dati personali in assenza di particolari formalità aggiuntive. A tal riguardo, l’EDPB invita peraltro gli interessati a consultare regolarmente il sito dell’Information Commissioner’s Office per aggiornamenti.