Regole per trasferimento di dati da SEE verso il Regno Unito in caso di “hard-Brexit”

Dopo l’ultima proroga concessa dall’Unione europea al Regno unito al fine di permettere al Parlamento inglese di approvare il piano di uscita negoziato tra il governo e l’UE, in assenza dell’approvazione di tale accordo (“no-deal Brexit”) il Regno unito diventerà un paese terzo dal 12 aprile 2019.
Lo status di paese terzo comporta l’esclusione del Regno unito dall’area di libera circolazione dei dati personali tra gli Stati Membri UE stabilita dal GDPR all’art. 1(3) e obbliga titolari e responsabili ad individuare e applicare una base giuridica per il trasferimento di dati personali verso il paese terzo, tra quelle stabilite al Capo V del GDPR.
Nell’ottica di una no-deal Brexit, il Comitato europeo per la protezione dei dati – l’organo che riunisce le autorità di controllo dell’UE – ha adottato una nota informativa finalizzata a chiarire tali aspetti nei confronti di titolari e responsabili che trasferiscono dati personali verso il Regno unito.

Scopri tutte le risposte in questo approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.


Premessa

Il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato una nota informativa che intende fornire alcuni chiarimenti per i soggetti pubblici e privati in merito ai trasferimenti di dati personali verso il Regno Unito, in caso della cd. “hard Brexit”.

Il Considerando 108 del Regolamento (UE) 679/2016 stabilisce che “in mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo”.

In assenza di un accordo tra l’UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dal 30 marzo 2019.

Pertanto, a partire da tale data, in assenza di una decisione di adeguatezza tra UE e Regno Unito,

il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti giuridici:

  1. clausole-tipo di protezione dati, contratti “ad hoc”, clausole tipo di protezione dei dati adottate da un’autorità di controllo
  2. norme vincolanti d’impresa
  3. codici di condotta e meccanismi di certificazione
  4. deroghe ai sensi all’articolo 49 del Regolamento (UE) 679/2016[1].

Mentre, per i trasferimenti di dati dal Regno Unito al SEE, anche in caso di “hard Brexit” continuerà a vigere la libera circolazione dei dati personali.[2]

Questioni principali

I. Clausole tipo

L’art. 46.2.c) del Regolamento (UE) 679/2016 afferma che, in mancanza di una decisione di adeguatezza, il trasferimento di dati può avvenire mediante l’utilizzo delle cd. “clausole tipo” (cd. standard model clause), adottate dalla Commissione.

Per i trasferimenti da Titolari nel SEE a Titolari in paesi terzi (es. UK), si fa riferimento alla decisione della Commissione 2001/497/CE e alla decisione 2004/915/CE, mentre, per i trasferimenti da titolari nel SEE a responsabili in paesi terzi (es. UK) si fa riferimento alla decisione della Commissione 2010/87/CE

Inoltre, sulla base di quanto affermato nel Considerando 108, l’art. 46.3.a) del Regolamento (UE) 679/2016 stabilisce che, in alternativa ad una decisione di adeguatezza o della stipula delle model clause, titolare e responsabile possano realizzare clausole contrattuali apposite per disporre il trasferimento dei dati personali nel paese terzo.

Tuttavia, l’art. 46.4 precisa che tali contratti “ad hoc”, devono essere sottoposti all’autorità di controllo, la quale ha il compito di autorizzarne la validità.

II. Norme vincolanti d’impresa (BCR)

Le norme vincolanti d’impresa (BCR) sono definite dall’art. 4, n.20 del Regolamento (UE) 679/2016 come “le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune”.

Se l’azienda o l’autorità pubblica non dispone di BCRs, queste dovranno essere approvate dalla competente autorità di controllo nazionale sulla base di un parere del Comitato europeo della protezione dei dati.

III. Codici di condotta e meccanismi di certificazione

Il codice di condotta e lo schema di certificazione rientrano tra gli strumenti giuridici introdotti dal Regolamento (UE) 679/2016, e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

IV. Deroghe

Occorre sottolineare che le deroghe previste ai sensi dell’articolo 49 del Regolamento (UE) 679/2016 consentono di trasferire dati verso Paesi terzi solo a determinate condizioni, e rappresentano in ogni caso eccezioni alla regola che ammette i trasferimenti in base a una decisione sull’adeguatezza del paese terzo. Pertanto, la loro interpretazione deve essere restrittiva.

Alla luce dell’Art. 49 del Regolamento (UE) 679/2016, le deroghe in questione comprendono, fra l’altro, quanto segue:

  • il consenso esplicito fornito dall’interessato al trasferimento previsto, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
  • la necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato fra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
  • la necessità del trasferimento per importanti motivi di interesse pubblico;
  • la necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile. 

Continua a leggere qui.


[1] EDPB, Linee guida n. 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento (UE) 679/2016, adottate il 25 maggio 2018.

[2] Garante per la protezione dei dati personali, Trasferimento in caso di “hard Brexit”, aggiornato il 28 febbraio 2019.


In collaborazione con

ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.

ICT Legal Consulting

Author ICT Legal Consulting

ICT Legal Consulting is an international law firm founded in 2011 with offices in Milan, Bologna, Rome and Amsterdam, and presence in nineteen other countries (Australia, Austria, Belgium, Brazil, China, France, Germany, Greece, Hungary, Mexico, Poland, Portugal, Romania, Russia, Slovakia, Spain, Turkey, United Kingdom and USA). The firm was established by Paolo Balboni and Luca Bolognini, who have successfully assembled a network of trusted, highly-skilled lawyers specialized in the fields of Information and Communication Technology, Privacy, Data Protection/Security and Intellectual Property Law.

More posts by ICT Legal Consulting
it_ITItaliano
en_USEnglish it_ITItaliano