Il 1° gennaio 2021 si è finalmente conclusa la Brexit. Dopo questo faticoso e lungo processo – iniziato nel lontano 2016 – il Regno Unito ha definitivamente lasciato l’Unione europea ed una decisione così importante non poteva non portare con sé conseguenze rilevanti anche per tutti gli altri Stati membri.
Anche sul fronte privacy questa nuova realtà ha avuto le sue ripercussioni. Vediamo quali.
Per agevolare il passaggio da stato membro a paese terzo, il Regno Unito il 30 dicembre 2020 ha stipulato un accordo commerciale e di cooperazione con l’Unione europea (The EU-UK Trade and Cooperation Agreement).
In tale intesa si pattuisce che lo UK continui ad applicare il Regolamento UE 679/2016 sulla protezione dei dati personali (GDPR) sino alla data del 30 giugno 2021.
In altri termini, in questi 6 mesi il flusso di dati verso il Regno Unito non subirà variazioni e soggiacerà alle medesime regole sino ad oggi applicate.
Nel citato accordo la Commissione europea ed il governo UK si sono altresì impegnati a lavorare su reciproche decisioni di adeguatezza al fine di consentire la prosecuzione senza interruzioni dei flussi di dati, anche in seguito al periodo transitorio semestrale.
E’ di tutta evidenza, come precisato dal Garante privacy, che in difetto di ulteriori accordi in tal senso verranno applicate le disposizioni di cui al Capo V del GDPR, le quali stabiliscono che per il trasferimento di dati dall’UE (più precisamente dallo Spazio economico europeo SEE) verso un Paese terzo occorrono adeguate garanzie (clausole contrattuali standard, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta).
Ammette tuttavia delle deroghe in assenza delle suddette “adeguate garanzie” (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.
Come noto, il GDPR si applica quando:
- la sede operativa dell’organizzazione si trova nell’UE;
- l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei;
- l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.
Ciò detto, anche quando tale fase di passaggio sarà conclusa, le aziende con sede nel Regno Unito dovranno comunque applicare il GDPR ai loro utenti con sede nell’UE.
E non solo, se un’impresa inglese ha la sua base operativa nell’UE, dovrà applicare gli standard di protezione previsti dal GDPR non solo agli utenti europei ma anche a tutti gli altri.
Pertanto, le aziende che trasferiscono dati tra l’UE e lo UK dovranno osservare sia le regole di trasferimento del Regno Unito che quelle dell’UE.
Per quanto riguarda poi i contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio non è più applicabile il meccanismo dello “sportello unico” (one-stop-shop) che disciplina questi contenziosi fra i paesi del SEE.
In pratica, una azienda con sede nel Regno Unito perde la possibilità di rapportarsi con un’unica autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal GDPR.
L’alternativa per l’impresa che intenda continuare a godere di tale beneficio, è quella di individuare un nuovo stabilimento principale in uno degli stati membri del SEE.
In ogni caso, l’autorità garante italiana ribadisce che dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’art. 3, par. 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell’art. 27 GDPR.
Tale figura può essere contattata per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR, dalle Autorità di controllo nonché da tutte le persone interessate.
Naturalmente per la tutela dei diritti gli interessati che si trovano all’interno nostro Paese, i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito, l’autorità di riferimento a cui rivolgersi rimane il Garante italiano.
In questo periodo di transizione, come assicurato dall’ICO (autorità Garante Inglese per la protezione dei dati personali) il Regno Unito non apporterà modifiche al quadro giuridico esistente in materia di protezione dei dati.
Pertanto almeno per i primi 6 mesi di quest’anno e comunque solo in materia di privacy il Regno Unito non sarà trattato alla stregua di un paese terzo.
VP
