Brexit: cosa cambia nel mercato digitale del trasferimento dei dati personali

Come noto, all’interno dell’Unione europea vige il principio di libero scambio dei dati personali, secondo quanto stabilito dall’art. 42 del Regolamento Ue 2016/679 (c.d. GDPR). Lo stesso regolamento, agli articoli seguenti, disciplina poi il caso del un trasferimento dei dati personali dei cittadini Ue verso Paesi terzi.

Va ricordato, infatti, che trasferire dati personali verso Paesi non appartenenti all’Unione europea è consentito solo qualora vengano rispettate previsioni e regole specifiche.

Tale premessa si rende necessaria nel considerare il caso del Regno Unito, in quanto, a seguito della Brexit e dell’entrata in vigore del Trade and Cooperation Agreement (TCA), la posizione del Regno Unito è cambiata, rendendo dunque necessaria una regolamentazione dei rapporti tra Ue e UK in materia di dati personali (per ulteriori approfondimenti sul contenuto generale del TCA, si vedano gli articoli precedentemente pubblicati su questo blog in materia di supply chain, contratti commerciali e proprietà intellettuale).

Per quanto riguarda il trattamento dei dati, allo stato attuale il TCA prevede un periodo transitorio della durata massima di sei mesi, con la conseguenza che, a meno che non si giunga alla definizione di una disciplina dettagliata prima del termine, fino al 30 giugno 2021 rimarranno in vigore tra Ue e UK le norme previste in materia di trattamento dei dati all’interno dell’Ue.

Durante tale periodo, il Regno Unito non verrà considerato come uno Stato terzo, e dunque non saranno necessari ulteriori adempimenti da parte delle imprese che gestiscono e trasferiscono dati personali da e verso il Paese.

Tuttavia, al termine di tale periodo transitorio, il Regno Unito diventerà a tutti gli effetti un Paese terzo e sarà dunque necessario adottare strumenti di salvaguardia previsti dal GDPR per garantire un trasferimento sicuro dei dati personali degli utenti.

In tal senso, gli strumenti attualmente forniti dal GDPR sono molteplici e comprendono, in via principale, la possibilità di trasferire i dati in presenza di una decisione di adeguatezza (i.e. una dichiarazione della Commissione europea con la quale si stabilisce che il Paese terzo di destinazione adotta misure sufficientemente adeguate a garantire la tutela dei dati personali dei cittadini Ue).

Viceversa, in assenza di una decisione di adeguatezza, è possibile ricorrere ad altre soluzioni, tra cui:

1. strumenti giuridicamente vincolanti (ad esempio l’autorizzazione espressa del Garante della Privacy); o

2. norme vincolanti di impresa (c.d. Binding Corporate Rules, in base alle quali viene concesso il trasferimento dei dati tra imprese facenti parte dello stesso gruppo – anche se aventi sede in Stati terzi – allo scopo di semplificare gli oneri amministrativi a carico delle società); o

3. clausole tipo di protezione (c.d. Standard Contractual Clauses) adottate dalla Commissione e/o da autorità di controllo (previa approvazione della Commissione); o

4. codici di condotta approvati a norma dell’art. 40 GDPR; o

5. meccanismi di certificazione approvati a norma dell’art. 42 GDPR.

In tal senso, sebbene allo stato attuale nulla cambi in materia di trasferimento dei dati, va ribadito che tale situazione è transitoria e risulta destinata a cambiare a breve secondo modalità ad oggi ancora sconosciute.

Di conseguenza, il consiglio pratico per tutte le imprese Ue che svolgono attività nel Regno Unito è quello di attivarsi per tempo, procedendo alla revisione dei processi di trasferimento dei dati e analizzando attentamente le clausole contrattuali vigenti, in modo tale da conformarle alla normativa applicabile ai Paesi terzi ed evitando così di incorrere in sanzioni.

Luca Davini
Avvocato in Milano e Torino

#brexit #trattamentodatipersonali #privacy #GDPR #mercatodigitale #accordoUeUK #tradeandcooperationagreement #contrattiinternazionali #affariinternazionali #venditainternazionale #distribuzioneinternazionale

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

*