GDPR e Brexit: Cosa accadrà?

Dal 1 gennaio 2021, al termine del periodo di transizione il Regno Unito sarà da trattare a tutti gli effetti quale Paese terzo (in realtà, sul piano giuridico, lo è già dal 1 febbraio 2020), in particolare – per quel che qui rileva – con riferimento alla applicazione della normativa sulla protezione dei dati personali. Ciò significa che la comunicazione/trasmissione di dati a soggetti ivi stabiliti da parte di titolari/responsabili nell’Unione Europea si trasformerà in una operazione od un complesso di operazioni denominate come ‘trasferimento’, così come configurato e disciplinato dal Capo V del Regolamento UE 2016/679.

E’ molto probabile che non interverrà, per allora, una decisione di adeguatezza della Commissione UE, atto che eliminerebbe il problema del trasferimento, per così dire, alla fonte. In difetto di tale decisione, il titolare o il responsabile che eseguirà operazioni di trasferimento, dovrà – anzi dovrebbe/deve, ove non già fatto, sin da ora – programmare una serie di valutazioni onde eseguire atti e/o operazioni conformi alle disposizioni del Regolamento e non incorrere in una violazione delle stesse.

La sorte dei dati personali trasferiti fino al 31 dicembre 2020 – E’ opportuno avere consapevolezza della sorte dei dati personali trasferiti o che saranno stati trasferiti fino al prossimo 31 dicembre.

In base al paragrafo 1 dell’art. 71 (intestato a “protezione dei dati personali”) dell’Accordo sul recesso del Regno Unito di Gran Bretagna e Irlanda del Nord dall’Unione europea e dalla Comunità europea dell’energia atomica (2019/C 384 I/01), “Il diritto dell’Unione in materia di protezione dei dati personali si applica nel Regno Unito al trattamento dei dati personali degli interessati al di fuori del Regno Unito, purché tali dati personali: a) siano stati trattati nel Regno Unito ai sensi del diritto dell’Unione prima della fine del periodo di transizione; o b) siano trattati nel Regno Unito dopo la fine del periodo di transizione in virtù del presente accordo”.

Nell’Avviso della Commissione UE del 6 luglio 2020 si legge al proposito che “(…) dopo la fine del periodo di transizione i trasferimenti di dati personali verso il Regno Unito diversi da quelli disciplinati dall’articolo 71, paragrafo 1, dell’accordo di recesso non saranno trattati come condivisione di dati all’interno dell’Unione e dovranno rispettare le norme unionali applicabili ai trasferimenti di dati personali verso paesi terzi”.

La norma sancisce una sorta di ultrattività delle disposizioni del Regolamento UE 2016/679 relativamente ai dati personali trattati fino al termine del periodo di transizione.

L’ultrattività concerne tutti i dati personali acquisiti o comunque nella disponibilità ovvero semplicemente resi accessibili al titolare/responsabile stabilito nel Regno Unito entro il prossimo 31 dicembre 2020.

A conferma di quanto sopra, nel capitolo B dell’Avviso si spiega che “l’articolo 71, paragrafo 1, dell’accordo di recesso prevede che i dati personali degli interessati al di fuori del Regno Unito, purché – siano stati trasmessi al Regno Unito o altrimenti trattati nel Regno Unito prima della fine del periodo di transizione; o – siano trasmessi al Regno Unito o altrimenti trattati nel Regno Unito dopo la fine del periodo di transizione in virtù dell’accordo di recesso; continuino a essere trattati nel Regno Unito conformemente al regolamento (UE) 2016/679 dopo la fine del periodo di transizione”.

Dunque, questa ultrattività delle disposizioni del Regolamento UE 2016/679 è destinata a venir meno nell’ipotesi in cui sopraggiunga una decisione di adeguatezza della Commissione UE: a quel punto, verosimilmente, è come se cadesse la necessità di ‘garantire’ i dati già acquisiti, essendo in ogni caso inseriti in un contesto in cui sarebbe accertato tout court, ovvero per i dati trasferiti sia prima che dopo la sopra indicata soglia temporale, un livello di protezione adeguato.

Il trasferimento dal 1 gennaio 2021 – Per quanto concerne i dati personali oggetto di trasferimento successivamente al 31 dicembre 2020, i titolari e i responsabili nell’Unione Europea debbono/dovranno attrezzarsi, in mancanza d’altro, proponendo ai partners/fornitori stabiliti nel Regno Unito la stipula delle clausole tipo di protezione dei dati adottate dalla Commissione UE ai sensi dell’articolo 46, paragrafo 1 e paragrafo 2, lettera c).

Purtroppo, alla luce della sentenza c.d. ‘Schrems II’ (pronuncia della Corte di Giustizia dell’Unione Europea nella causa C-311/18 del 16 luglio 2020), il cui oggetto precipuo è stato per l’appunto la perdurante validità della decisione 2010/87/UE della Commissione del 5 febbraio 2010 (relativa alle clausole contrattuali tipo per il trasferimento di dati personali da titolari a responsabili del trattamento – poi modificata dalla decisione di esecuzione 2016/2297 della Commissione del 16 dicembre 2016), non è possibile affermare a priori la sufficienza della stipula tra esportatore e importatore di dati delle ‘clausole standard’, affinché il trasferimento non confligga con le disposizioni del Regolamento. Residua, in particolare, per l’aspirante esportatore – magari coadiuvato dal futuro importatore – l’obbligo di prendere/tenere in considerazione non solo le succitate clausole contrattuali ma anche, per quel che concerne eventuali accessi delle autorità pubbliche del Paese terzo ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, considerato che quelle clausole vincoleranno l’importatore, giammai le istituzioni del Paese terzo in cui quello è stabilito.

Come già si è in precedenza notato, gli ulteriori elementi da analizzare e soppesare nel contesto dell’articolo 46 corrispondono a quelli messi in fila, pur non in modo esaustivo, dall’articolo 45, paragrafo 2. Per il resto, è già nel contenuto della decisione 2010/87/UE (e così, analogamente, nelle decisioni 2001/497/CE e 2004/915/CE per i trasferimenti da titolari a titolari) l’obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato; inoltre la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Oltre alle clausole tipo, lo stesso Avviso della Commissione del 6 luglio u.s. ripropone gli altri strumenti, ex art. 46, almeno in teoria disponibili attualmente in capo ai titolari/responsabili: norme vincolanti d’impresa, codici di condotta e certificazioni (questi ultimi due unitamente agli impegni vincolanti ed esecutivi da parte dei titolari o dei responsabili dei trattamenti nel Paese terzo), per concludere con il richiamo alle deroghe ex art. 49.

Su queste ultime sono necessari l’attenzione e lo scrupolo degli esportatori, dal momento che si tratta di basi giuridiche affatto circoscritte, da utilizzare in assenza di decisioni di adeguatezza e di garanzie adeguate, al termine di una verifica rigorosa da documentare formalmente e dalla quale si evincano, nell’ordine: a) l’impossibilità oppure un obiettivo, ragionevole impedimento al ricorso ad uno degli strumenti dell’art. 46; b) la effettiva riconducibilità delle operazioni di trasferimento ad una delle fattispecie dell’art. 49, senza forzature, nella consapevolezza che non sarà avallata una loro interpretazione di tipo estensivo, ferma la loro natura di deroghe ai criteri generali del trasferimento.

In conclusione, i preparativi da apparecchiare per avviare o dare prosecuzione ai rapporti con titolari e responsabili al di là della Manica nel rispetto del Regolamento UE 2016/679, finiscono per rappresentare una scaletta di adempimenti in tutto e per tutto analoga a quella necessaria per un trasferimento di dati in qualunque altro Paese al di fuori dello Spazio Economico Europeo (che include i Paesi dell’UE, l’Islanda, il Liechtenstein e la Norvegia).

Articolo Ripreso da : FederPrivacy.org