GDPR e Brexit: le conseguenze dell’addio britannico sulla data protection

Poco tempo fa si era parlato di privacy e dati a proposito dell’aggiornamento delle policy di Whatsapp che ha destato — soprattutto in territorio europeo — preoccupazioni poi dissipate, ora se ne parla per un evento atteso da tempo: dal 1 gennaio 2021 il Regno Unito non fa più parte dell’Unione europea e così il lungo periodo di Brexit si è definitivamente concluso.
Prima di portare avanti il nostro ragionamento però, facciamo un brevissimo e sommario recap delle tappe più significative della dipartita inglese:

1. Giugno 2016 la Gran Bretagna è chiamata ad esprimere, in un referendum, il desiderio di volere o meno rimanere all’interno dell’Unione europea. Il 51,9% dei britannici vota sì avviando in quel momento la macchina “Brexit”

2. Marzo 2017: il Regno Unito notifica al presidente del consiglio europeo la volontà di uscire dall’UE tramite lettera dell’allora Primo Ministro Theresa May

3. Maggio 2019: dopo numerose trattative, accordi non trovati, divergenze interne e bocciature alla Camera dei Comuni britannica, Theresa May è costretta a rassegnare le dimissioni per non essere riuscita a trovare un accordo sulla Brexit. Al suo posto viene eletto Boris Johnson, brexiteer convinto e sostenitore della Hard Brexit.

4. Ottobre 2019: Johnson annuncia di aver finalmente trovato l’accordo con l’UE ma la data di uscita ufficiale viene nuovamente rinviata a causa del prolungamento dell’approvazione dell’accordo da parte del parlamento britannico. In gennaio il Parlamento europeo lo approva a larga maggioranza.

5. Dicembre 2020: dopo mesi di rinvii e il rischio reale di un no deal con l’UE finalmente arriva l’intesa: l’uscita definitiva del Regno Unito dall’Unione europea è fissata per il 1 gennaio 2021 e così sarà.

Il Regno Unito rimane strettamente legato a livello economico all’Europa e per questo le aziende devono prendere coscienza anche delle nuove disposizioni in termini di trattamento dei dati.

Come devono comportarsi le aziende europee che trasferiscono dati personali in UK o viceversa, quelle con sede nel Regno Unito che hanno a che fare con dati dell’Unione europea?

Per rispondere a queste domande dividiamo le due casistiche che, vedremo, richiedono passaggi diversi.

Imprese UE che trasferiscono dati in UK

Nel primo caso, se un’azienda con sede all’interno dell’Unione europea deve effettuare un qualsiasi trasferimento di dati nel Regno Unito per un’azienda cliente o un fornitore, il trattamento deve fare riferimento al GDPR europeo sicuramente fino al 30 giugno 2021, data entro la quale non sono necessari adempimenti diversi o aggiuntivi da quelli previsti dal Regolamento europeo già in vigore.
Se, però, entro tale data la Commissione europea non avrà provveduto a emanare una decisione di adeguatezza — così viene chiamato l’adempimento — nei confronti del Regno Unito, dal 1 luglio sarà necessario implementare appositi meccanismi di trasferimento previsti dal GDPR — ad esempio clausole contrattuali che regolamentano i trasferimenti di dati tra paesi UE e non UE, le cosiddette SCC (Standard Contractual Clauses).

Sicuramente, eventuali trasferimenti verso il Regno Unito vanno comunque indicati nelle varie Informative Privacy e nei registri delle attività di trattamento dell’azienda.

Riassumendo: fino al 30 giugno non c’è bisogno di fare nulla, si aspettano le mosse della Commissione europea perché, se questa non si esprime entro il 1 luglio le aziende dovranno regolamentare i rapporti con il Regno Unito tramite apposite clausole, per il trasferimento dei dati verso Paesi Extraeuropei, definite dal GDPR.

Imprese stabilite in UK

Nel secondo caso, invece, per un’azienda che ha sede nel Regno Unito, a partire dal 1 gennaio 2021 è soggetta alla legislazione inglese che prevede — nell’ambito del trattamento dei dati — l’aggiornamento di tutta la documentazione privacy che dovrà fare riferimento esplicito all’ICO, l’Information Commissioner’s Office — alter-ego inglese dell’European Data Protection Board o EDPB — l’autorità di riferimento per la protezione dei dati in UK.
Inoltre, dovrà essere rivisto e aggiornato anche il registro delle attività di trattamento con le specifiche di eventuali trasferimenti di dati al di fuori del Regno Unito verso un paese europeo.

Qualche informazione in più

Attenzione però, se un’azienda europea offre beni e servizi a utenti nel Regno Unito di cui monitora il comportamento, oltre a quanto detto prima, deve anche rifarsi al GDPR britannico che prevede la nomina di un rappresentante all’interno del territorio nazionale inglese e sicuramente l’aggiornamento delle informative privacy con i suoi contatti. Per il caso contrario — azienda britannica che offre servizi a utenti dell’Unione europea — sono previste le stesse procedure semplicemente con riferimento al GDPR europeo.

In questo senso parrebbe essere ripreso da entrambe le normative il principio secondo cui quello che conta non è la sede della società ma la provenienza dell’informazione oggetto del trattamento. Probabilmente, anche decorso il termine sopra menzionato sarà alquanto difficile che tale principio, ormai riconosciuto quasi globalmente, possa venire meno.
Ad ogni modo, come specificato anche dallo stesso ICO, fino al 30 giugno 2021 il Regno Unito continuerà ad intrattenere rapporti di cooperazione con l’Europa, cercando di seguire quanto espresso dal GDPR.

Quello che auspichiamo è che UK ed Europa possano trovare un’intesa per non complicare ulteriormente il trasferimento dei dati tra i vari paesi, salvaguardando il lavoro e gli investimenti posti in essere dalle aziende da inizio 2018 evitando così ulteriori esborsi economici per l’adeguamento a nuove e complesse procedure.
Appuntamento al 1 luglio quando la situazione sarà, si spera, chiarita.

Questo articolo è stato scritto da Matteo Puglia, Legal Counsel

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.