La Brexit non si può (più) trattare, i dati che finiscono nel Regno Unito sì
In molti si auguravano che le cose potessero andare in maniera diversa e che alla fine tutto si sarebbe risolto con una separazione che venisse incontro, per quanto possibile, alle esigenze di entrambe le parti. Eppure, in questo momento l’ipotesi più probabile per la Brexit è proprio il “No deal”. Il che significa un’uscita del Regno Unito dall’Unione Europea senza nessun accordo commerciale. Tra tutti i flussi commerciali che saranno coinvolti in questo momento c’è anche quello del trasferimento dei dati personali. Infatti, dalla mezzanotte del 29 marzo 2019 l’Inghilterra, il Galles e la Scozia non potranno essere più considerati – sotto questo punto di vista – un paese europeo.
Il Regno Unito e l’Unione Europea sono però ad oggi legate per moltissimi aspetti da un doppio filo, che in qualche modo dovrà essere tagliato cercando di fare i minor danni possibili. Per questo motivo sia il governo di oltremanica che il Comitato Europeo per la Protezione dei Dati (EDPB) hanno da poco diffuso delle note su come comportarsi nei confronti del flusso dei dati da e verso il Regno Unito.
Nella maggior parte dei casi, occorre effettuare questi cinque passi:
1) Individuare tutte le parti del trattamento dei dati della tua attività che riguardano dati personali che sono o saranno trasferiti nel Regno Unito (ad esempio: indirizzi e-mail, nominativi, dati biometrici di persone fisiche ecc.)
2) Capire quale sia lo strumento migliore per il trasferimento dei dati personali verso il Regno Unito. Tali strumenti possono essere:
a. Clausole-tipo di protezione dei dati personali, oppure clausole di protezione dei dati create all’occorrenza da professionisti della materia;
b. Norme vincolanti d’impresa;
c. Codici di condotta, meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche;
d. In assenza di clausole tipo, utilizzare in via assolutamente eccezionale le deroghe al trasferimento di dati. Si tratta di una soluzione da prendere con prudenza e cautela: per la validità, infatti, in generale occorre prestare particolare attenzione all’occasionalità e all’essenzialità di tale trasferimento dei dati nel rapporto tra l’attività e i propri utenti;
3) Attivare il metodo selezionato per il trasferimento entro le 23:59 del 29 marzo 2019;
4) Riportare il trasferimento di dati personali verso il Regno Unito all’interno di specifici documenti, come il registro dei trattamenti;
5) Terminati tutti i precedenti passaggi, occorre correggere l’informativa sulla protezione dei dati personali.
Per le realtà più strutturate, la soluzione migliore appare essere l’uso delle clausole-tipo approvate dalla Commissione Europea – soprattutto per il poco tempo rimasto a disposizione, a maggior ragione per i gruppi d’impresa sprovvisti di meccanismi di trasferimento di dati personali (ad esempio, attraverso le Binding Corporate Rules) verso una società parte del gruppo, ma con sede in un paese esterno all’Unione Europea.
Cosa succederà nei mesi successivi al 30 marzo 2019? Difficile fornire risposte sicure in periodo storico pieno di incertezze come quello attuale. Tuttavia, il governo britannico molto probabilmente seguirà i suoi propositi di adottare un proprio “Data Protection Bill” creato sulla falsa riga del GDPR, che ne seguirà i valori e i principi racchiusi al suo interno. In altre parole, la normativa della protezione dei dati di oltremanica nascerebbe da una costola del regolamento europeo 2016/679, gettando le basi per ricreare nuovamente uno spazio comune di circolazione dei dati personali tra Regno Unito e Unione Europea dotato di efficaci regole a protezione della privacy dei loro cittadini.