Lo scenario post Brexit e i chiarimenti dell’Autorità Garante per la protezione dei dati personali
Nel 1973 il Regno Unito, guidato dal Primo Ministro conservatore Edward Heath, entrava a far parte della Comunità Economica Europea, una scelta confermata anche nel referendum indetto nel 1975, occasione in cui gli inglesi si espressero con il 67% dei voti a favore della permanenza nel sistema comunitario. Nel 1976, la Regina Elisabetta veniva ritratta davanti ad un computer dell’epoca in una stanza del Royal Signals and Radar Establishment, in un istituto di ricerca sulle telecomunicazioni ed articolazione del Ministero della Difesa: era il primo Capo di Stato a mandare ufficialmente una e-mail, un ringraziamento in occasione del sessantesimo anniversario del Commonwealth.
Sono trascorsi molti anni da quegli eventi assai significativi e molte cose sono cambiate… tranne Her Majesty The Queen. Dal 1 gennaio 2021 infatti, il Regno Unito non è più uno Stato membro dell’Unione europea. Come è ovvio, questo recesso rileva anche sotto il profilo del trasferimento di dati oltremanica, in quanto il Regno Unito è diventato un Paese Terzo. Al fine di meglio gestire gli effetti indubbiamente drastici della cd. Brexit, il 1 febbraio 2020 era entrato in vigore l’Accordo di recesso tra UK e UE, che istituiva un periodo transitorio nel corso del quale il Regno Unito avrebbe continuato a partecipare al mercato unico ed all’Unione doganale europea. Dopo un intenso periodo di negoziati, il 31 dicembre 2020, l’UE ed il Regno Unito hanno stipulato un Accordo commerciale e di cooperazione volto disciplinare le relazioni future tra loro a seguito del distacco dal blocco comunitario.
Il futuro dei trasferimenti dei dati oltremanica
Per quel che ci interessa, in forza di tale Accordo è previsto che il Regno Unito continui ad applicare il Regolamento europeo per la protezione dei dati personali per un periodo ulteriore, della durata di 6 mesi, che termineranno il 30 giugno del 2021. È presto per dire cosa succederà successivamente a questa data, vi sono almeno due distinte soluzioni: la Commissione europea potrebbe approvare una Decisione di adeguatezza che riconosca che il Regno Unito garantisce un livello di protezione adeguato in termini di trattamento dei dati (art. 45). Questa ipotesi, per vero, è prevista nello stesso Accordo di partenariato, in base al quale la Commissione e il Governo britannico hanno preso l’impegno di cooperare al fine di addivenire a reciproche Decisioni di adeguatezza che consentano di continuare il trasferimento dei dati senza soluzione di continuità e nel rispetto degli standard di sicurezza richiesti dalla normativa europea di cui al Regolamento UE 2016/679. Se ciò non dovesse accadere, si dovrà fare appello agli strumenti giuridici forniti dallo stesso Regolamento al Capo V, previsti per regolare il flusso di dati dal SEE – Spazio Economico Europeo – verso un Paese Terzo “non adeguato”.
L’art. 46 prevede ad esempio gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a), le norme vincolanti d’impresa (art. 46, par. 2, lett. b), le clausole tipo (art. 46, par. 2, lett. c e lett. d), i codici di condotta (art. 46, par. 2, lett. e), i meccanismi di certificazione (art. 46, par. 2, lett. f).
In assenza di clausole-tipo di protezione dei dati o di altre garanzie, si potrà comunque fare riferimento alle deroghe di cui all’art. 49 par. 1 e costituite dal consenso esplicito dell’Interessato (lett. a), dalla necessità di eseguire un contratto concluso tra Interessato e Titolare del trattamento o all’ esecuzione di misure precontrattuali adottate su istanza dell’Interessato a determinate condizioni (lett. b), dalla necessità di eseguire il trasferimento per la conclusione o l’esecuzione di un contratto stipulato tra il Titolare del trattamento e un’altra persona fisica o giuridica a favore dell’Interessato (lett. c), dall’esistenza di un interesse pubblico di uno Stato membro del SEE (lett. d), da esigenze legate all’esercizio di attività giudiziaria (lett. e), dalla necessità di tutelare gli interessi vitali di un Interessato incapace di esprimere il proprio consenso (lett. f) e infine quando il trasferimento è effettuato a partire da un pubblico registro secondo quanto specificato dalla lett. g) e dai successivi paragrafi 2 e 6 del medesimo art. 49. Tuttavia, si sottolinea come l’applicazione delle suddette deroghe debba essere soggetta ad una valutazione restrittiva, essendo previste quali ipotesi residuali di trasferimento che deve essere comunque conforme agli obblighi di cui al Regolamento UE 2016/679
La gestione di contenziosi e reclami post Brexit
Per quanto concerne l’eventualità che insorgano contenziosi o reclami relativi al trattamento dei dati di carattere transfrontaliero che coinvolgano Titolari o Responsabile del trattamento stabiliti nel Regno Unito (ora un Paese Terzo), non sarà più possibile usufruire del meccanismo di “sportello unico” cd. one stop shop, poiché tale procedura può essere attivata solo tra Paesi membri del SEE. A questo proposito, in data 07 gennaio 2020, l’Autorità garante per la protezione dei dati personali ha chiarito che le imprese con sede in UK, per poter beneficiare dello “sportello unico”, dovrebbero individuare un nuovo stabilimento principale in uno Stato membro del SEE. Questo è l’unico modo per poter beneficiare della possibilità di rapportarsi con un’unica Autorità di controllo – cd. Capofila – competente per lo stabilimento principale o unico del Titolare o del Responsabile sito entro i confini del SEE.
Riassumendo, l’Autorità di controllo “Capofila” (Lead Supervisory Authority), prevista dall’art. 56 del Regolamento UE 2016/679, viene definita come l’Autorità dello stabilimento principale o unico nell’UE del Titolare o del Responsabile, a cui è trasferita la competenza da parte di tutte le altre Autorità di controllo di ciascuno Stato membro (che vengono per questo definite Autorità di controllo interessate) rispetto al trattamento transfrontaliero dei dati posto in essere da quel Titolare o Responsabile. Lo scopo di tale devoluzione di competenze è volto alla costituzione del cd. “sportello unico”, in modo che l’Autorità “Capofila” costituisca l’unico interlocutore dei due soggetti operanti il trattamento. Sostanzialmente, il meccanismo attraverso cui tale organismo perviene ad emanare la propria decisione, nel caso insorga una controversia che coinvolga il cross border traffic, consiste nell’interpellare tutte le Autorità interessate, tenendo conto delle loro “obiezioni pertinenti e motivate“.
Infine, sempre a far data dal 1 gennaio 2021, i Titolari e i Responsabili del trattamento con sede in UK soggetti all’applicazione del GDPR ex art. 3 par. 2 – che svolgono attività di trattamento riguardante l’offerta di beni o servizi ad Interessati collocati in UE, o il monitoraggio del comportamento di Interessati nella misura in cui tale comportamento sia tenuto all’interno dell’UE – dovranno nominare ed indicare il proprio rappresentante nel SEE secondo quanto previsto dall’art. 27 del GDPR.
Lo studio legale Groppo è specializzato anche nell’assistenza legale in ambito di protezione dei dati personali. Se quindi desideri ricevere maggiori informazioni, oppure per una consulenza personalizzata, non esitare ad inoltrare le tue richieste: contattaci.