Brexit, GDPR e i problemi per le imprese europee. Che fare?

Dal primo gennaio dell’anno entrante il Paese dovrà essere considerato, a tutti gli effetti, un Paese “Terzo” rispetto alla UE, con conseguenze per le aziende britanniche ed europee.

Nel 2016, con un limitato scarto di voti, la Gran Bretagna ha deciso di lasciare l’Unione Europea. Nel marzo dell’anno successivo ha notificato alla Commissione Europea la sua decisione, secondo quanto stabilito dall’art. 50 del Trattato sull’Unione Europea.

Posticipata una prima data di effettiva uscita, dall’ottobre 2019 al 2020 al 29 gennaio di quest’anno, il Parlamento Europeo ha infine approvato l’uscita della Gran Bretagna, meglio conosciuta come “Brexit”.

Se, fino al 31 dicembre di quest’anno la terra d’Albione è rimasta in un periodo di transizione che ha comportato la continuità dell’applicazione di molte norme come certamente anche quelle in materia di protezione dei dati personali fissate dal Regolamento Europeo 679/2016 (GDPR), dal primo gennaio dell’anno entrante il Paese dovrà essere considerato, a tutti gli effetti, un Paese “Terzo” rispetto alla UE, con una serie di importanti conseguenze, sia per le aziende britanniche sia per quelle europee che intessono rapporti con l’UK.

Sono molte le aree in cui le imprese si troveranno ad affrontare le problematiche del c.d. “no deal “: ciò avverrà certamente nei settori della regolamentazione dei prodotti, della farmaceutica e dei medicinali, dell’immigrazione, dei servizi finanziari, dei servizi di telecomunicazione, degli audiovisivi, della contrattualistica internazionale in generale, della proprietà intellettuale e, non per ultimo anche nel settore della protezione dei dati, che sarà ampiamente coinvolto dalle problematiche nascenti dalla Brexit.

Brexit e GDPR

Come ha recentemente notato il Board Europeo dei Garanti, ciò significherà che, tra poco più di dieci giorni, la Gran Bretagna non sarà più soggetta all’applicazione del GDPR in relazione al trattamento dei dati personali e dunque dovrà ritenersi in vigore un diverso regime: tutti i trasferimenti di dati personali tra gli stakeholder soggetti al GDPR e le entità, gruppi, organizzazioni inglesi costituiranno un “trasferimento di dati personali verso un paese terzo” e saranno quindi soggetti alla particolare disciplina che caratterizza tali rapporti.

Le prime indicazioni del Board Europeo

Nella attuale perdurante assenza di una decisione di “adeguatezza” della Gran Bretagna da parte della Commissione Europea (deputata a stabilire quali Paesi terzi assicurino un livello di protezione non solo dei dati personali, ma tutta una serie di garanzie di “diritto”: v. art. 45 GDPR), i trasferimenti dovranno essere effettuati applicando “adeguate garanzie”. Ad esempio, le particolari Clausole Contrattuali recentemente aggiornate (sempre dalla Commissione), le BCR, Binding Corporate Rules, che consentono, a certe condizioni, i trasferimenti “infragruppo”, i codici di condotta oppure, in casi estremamente particolari, occasionali e singolari, le particolari deroghe previste dall’art. 49 del Regolamento Europeo.

Non solo, perché, come anche recentemente venuto alla ribalta a seguito della c.d. sentenza “Schrems II”, dovranno essere assicurati sia il rispetto dei diritti fondamentali degli interessati, che la possibilità di ricorrere ad effettivi ed efficaci rimedi legali per gli stessi.

Ne deriva la necessità, in relazione alle garanzie richieste, anche di applicare e/o assicurare misure supplementari che possano assicurare un livello di protezione dei dati personali di livello sostanzialmente equivalente a quello in essere in ambito europeo, così come stabilito nelle Raccomandazioni 1/2020 dello stesso Comitato solo poche settimane orsono.

Ulteriormente, deve essere segnalata la necessità, per Titolari e Responsabili del trattamento, di assicurare, ed essere in grado di dimostrare, il rispetto delle altre obbligazioni derivanti dal Regolamento Europeo, come ad esempio quelle di una attenta rivisitazione e aggiornamento dei Registri delle attività di trattamento e delle Informative privacy fornite ai diversi interessati, che dovranno essere aggiornate in relazione ai menzionati trasferimenti verso un Paese terzo.

Insomma: una situazione in costante sviluppo ma che impone grande attenzione.

Articolo di Andrea Broglia, Avvocato, CIPP/E, Componente D&L Network

Fonte: Key4biz | di D&L Net Andrea Broglia

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL