Brexit e data flow: possibili scenari in caso di no deal

di Lorenzo Nosari


Introduzione

Con il termine Brexit si indica l’uscita della Gran Bretagna dall’Unione Europea a seguito del referendum del 23 Giugno 2016. In questo articolo si proverà a delineare lo scenario futuro al quale ci troveremo di fronte in caso di “No Deal”, ossia qualora il Regno Unito uscisse dall’Unione Europea senza un accordo disciplinante le relazioni future con gli altri stati membri dell’Unione.

Come è attualmente disciplinato il Data Flow tra UE e UK

Il Regno Unito ha attualmente a disposizione molteplici strumenti che regolano il trattamento dei dati personali anche al di fuori dell’UE, incluso il Regolamento generale sulla protezione dei dati (GDPR). La Gran Bretagna, inoltre, è parte dei sistemi di condivisione delle informazioni tra forze dell’ordine, del sistema europeo di informazione sui casellari giudiziari (ECRIS) e del sistema di controllo inerente ai nomi dei passeggeri di voli aerei (PNR). Il GDPR e i citati sistemi di condivisione delle informazioni facilitano il trasferimento dei dati tra Regno Unito e altri stati membri dell’UE e fino all’uscita ufficiale dall’UE prevista il 29 marzo 2019, le normative comunitarie in materia di protezione dei dati resteranno pienamente applicabili ed efficaci.

Come sarà disciplinato il trasferimento dei dati in caso di No Deal

Nel caso in cui il Regno Unito dovesse uscire dall’Unione Europea senza un accordo, diventerà ufficialmente, per l’UE, un Paese terzo. Di conseguenza, qualsiasi trasferimento di dati personali tra le due sponde della Manica dovrà essere conforme ai requisiti richiesti dalla normativa UE sulla protezione dei dati in tema di trasferimenti transfrontalieri. In una nota tecnica il governo britannico ha comunque chiarito che il trasferimento dei dati tra UK e UE non subirà nessuna limitazione o blocco; detto ciò, è tuttavia possibile – anche se improbabile – che il Regno Unito non benefici di una decisione di adeguatezza da parte dell’Unione o che tale decisione venga pronunciata dopo molto tempo. In tal caso, dunque, potrebbero potenzialmente verificarsi restrizioni al libero flusso di dati con l’Unione Europea.

Quali sono le opzioni a disposizione delle aziende per continuare ad esser compliant con la normativa sul trattamento dei dati personali?

Nella sua comunicazione alle parti interessate, la Commissione Europea ha riassunto le opzioni adottabili affinché il trasferimento di dati personali dell’UE nel Regno Unito sia qualificato come lecito in assenza di una decisione di adeguatezza. Le aziende possono così fare affidamento sui meccanismi indicati nel GDPR, quali le Binding Corporate Rules (BCR), le Clausole contrattuali standard (SCC), i codici di condotta e le certificazioni.

Binding Corporate Rules

Una prima opzione per le società multinazionali sarebbe appunto l’adozione di Binding Corporate Rules (BCR), in conformità con l’articolo 47 del Regolamento europeo. Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato membro verso Paesi terzi tra società facenti parti dello stesso gruppo d’impresa.

Le BCR non sono altro che un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo. Le BCR sono state oggetto di un documento di lavoro del WP29 sulla procedura di approvazione delle norme vincolanti d’impresa adottate dai titolari e dai responsabili del trattamento, costituendo un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

La procedura per la definizione del testo delle Binding Corporate Rules prevede due fasi: una a livello europeo ed una a livello nazionale. Quest’ultima è in particolare finalizzata al rilascio dell’autorizzazione da parte dell’Autorità Garante, ove necessaria (come ad esempio in Italia).

Clausole contrattuali standard

Una seconda opzione sono le Clausole contrattuali standard, tra i mezzi più utilizzati per i trasferimenti di dati al di fuori dell’UE. Ai sensi del Regolamento sulla protezione dei dati 2016/679 (“GDPR”), l’adozione di tale clausole prevede garanzie adeguate che legittimano il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale e vengono adottate dalla Commissione europea e dalle autorità di controllo nazionali.

Un’azienda Europea può dunque, attraverso l’adozione delle clausole contrattuali standard, stipulare un contratto con un’azienda che si trova in un Paese terzo facendo sì che con tale accordo le parti siano in grado di offrire un livello di protezione adeguato per i dati trattati. In particolare, ciò che si richiede è da una parte un idoneo livello di sicurezza nel trattamento dei dati, e dall’altra la tutela dei diritti degli interessati.

L’esportatore dei dati (nell’esempio di cui sopra, l’azienda Europea) deve quindi incorporare tali clausole contrattuali nel contratto utilizzato per disciplinare il trasferimento, garantendo così che i dati saranno trattati conformemente ai principi stabiliti nel GDPR anche nel Paese di destinazione.

Una delle facoltà concesse ai titolari del trattamento è poi la predisposizione di clausole ad hoc da sottoporre al vaglio delle autorità di controllo nazionali. A seconda del tipo di clausola contrattuale strandard, sarà necessaria o meno l’autorizzazione dell’autorità nazionale di controllo. Non occorre una specifica autorizzazione, invece, per ipotesi in cui si sia in presenza di:

  • strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
  • norme vincolanti d’impresa in conformità dell’articolo 47 del GDPR;
  • clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2 del Regolamento europeo;
  • clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
  • un codice di condotta approvato a norma dell’articolo 40 del GDPR, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;
  • un meccanismo di certificazione approvato a norma dell’articolo 42 del Regolamento europeo, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

Codici di condotta

Altro strumento adottabile è quello dei codici di condotta. Tali codici dovrebbero essere redatti dalle associazioni e dalle organizzazioni che rappresentano categorie di titolari del trattamento o di responsabili del trattamento, tenendo conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alla dimensione aziendale.

In particolare, secondo l’art. 40 del GDPR, i codici di condotta dovrebbero concernere:

  • il trattamento corretto e trasparente dei dati;
  • i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
  • la raccolta dei dati personali;
  • la pseudonimizzazione;
  • l’informazione fornita al pubblico e agli interessati;
  • l’esercizio dei diritti degli interessati;
  • la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
  • le misure di sicurezza;
  • la notifica dei data breach e la relativa comunicazione agli interessati;
  • il trasferimento di dati personali verso paesi terzi;
  • le procedure stragiudiziali di composizione delle controversie.

Ai sensi del Regolamento europeo per la protezione dei dati, inoltre, la Commissione ha il potere di decidere che un codice di condotta abbia validità generale all’interno dell’UE, rendendolo così applicabile all’intero settore di riferimento in tutto il territorio dell’Unione.

Certificazioni

Quarto e ultimo strumento adottabile sono le certificazioni disciplinate dall’art. 42 del GDPR, il quale indica le caratteristiche che queste devono avere:

  • essere volontarie;
  • essere accessibili tramite una specifica procedura;
  • essere rilasciate da appositi organismi di certificazione o dall’Autorità Garante, con durata massima di tre anni e rinnovabili.

Gli organismi di certificazione, come disciplinato dall’art. 43 del GDPR, devono possedere un livello di conoscenza della materia adeguato, essere indipendenti ed essere accreditati. Per poter ottenere l’accreditamento, gli organismi devono dimostrare indipendenza e competenze specifiche e presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri.

Conclusioni 

Se al momento i negoziati per l’uscita del Regno Unito dall’Unione Europea non sembrano trovare un equilibrio accettabile per entrambe le parti, l’impatto di una cosiddetta “Hard Brexit” colpirebbe trasversalmente ogni ambito del quotidiano, incluso, dunque il mondo della data economy. A ben vedere tuttavia, anche nel caso in cui il temutissimo “No Deal” dovesse realizzarsi, esistono già numerosi strumenti adottabili dalle aziende per evitare l’interruzione del Data Flow tra UK e UE.

A parere di chi scrive – e alla luce di un recente studio commissionato dal Dipartimento per i diritti dei cittadini e gli affari costituzionali del Parlamento europeo che ha definitio tali misure non necessariamente sufficienti – è auspicabile la previsione di un periodo di standstill iniziale, anche tenuto conto che la normativa nazionale del Regno Unito in tema di protezione dei dati è già allineata al GDPR.


Dittrich D. J., A Guide to Brexit and Data Flows, Jaques Delors Institut, 2018, disponibile su http://institutdelors.eu/wp-content/uploads/2018/09/20180920_Brexit-und-Data_Dittrich.pdf

European Parliament, The future EU-UK relationship: options in the field of the protection of personal data for generalprocessing activities and for processing for law enforcement purposes, 2018, disponibile su http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL_STU(2018)604976

Gov. UK, Data protection if there’s no Brexit deal, 2018, disponibile su https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal

Information Commissioner’s Office (ICO), International Data Transfers, disponibile su https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/the-gdpr/international-data-transfers/

McCann FitzGerald, Brexit: Data Protection and EU-UK Data Flow, 2017, disponibile su https://www.mccannfitzgerald.com/uploads/7638-Brexit_-_Data_Protection_and_EU-UK_Data_Flows_1.pdf

The Law Society, No-deal Brexit guidance: Data protection, 2018, disponibile su https://www.lawsociety.org.uk/support-services/advice/articles/no-deal-brexit-data-protection/


Autore:

it_ITItaliano
en_USEnglish it_ITItaliano