Brexit, quali sono le conseguenze in materia di privacy per le aziende

Ecco quali sono le misure riguardanti la protezione dati che le aziende inglesi ed europee dovranno prendere prima del 31 ottobre 2019, nuova data fissata dal Consiglio europeo per la Brexit.  

In data 27 febbraio 2019 il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue.
Infatti in assenza di un accordo tra l’UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo ai sensi del GDPR.

In caso di Brexit
Il trasferimento di dati personali verso il Regno Unito potrà avvenire solo in presenza dei presupposti richiesti per i paesi terzi altrimenti dovrà ritenersi in via generale vietato.
Si intendono “paesi terzi” ai sensi del Regolamento Europeo i paesi non appartenenti all’UE o allo SEE (Spazio Economico Europeo, es . Norvegia, Islanda e Liechtenstein). E in linea di principio il trasferimento di dati personali da Paesi Ue a Paesi extra UE non è ammesso salvo che il paese destinatario garantisca un livello di protezione dei dati personali “adeguato”. La decisione sull’adeguatezza (art. 45) è rimessa alla Commissione Europea che con una propria decisione, a cui giunge secondo determinati criteri indicati dal GDPR, statuisce a riguardo.
In mancanza di una decisione della Commissione il Titolare del trattamento o il Responsabile del trattamento possono trasferire dati personali verso paesi terzi solo in presenza di garanzie adeguate e in particolare costituiscono garanzie adeguate: norme vincolanti d’impresa ai sensi dell’art. 47 (con approvazione dell’autorità di controllo); clausole-tipo di protezione dei dati adottate dall’Autorità di controllo e approvate dalla Commissione secondo specifica procedura d’esame; un codice di condotta approvato a norma dell’art. 40; oppure clausole contrattuali fra titolare o responsabile e il destinatario.
E’ possibile derogare al divieto di trasferimento anche nel caso in cui l’interessato abbia esplicitamente acconsentito al trasferimento; oppure se trasferire i dati sia necessario all’esecuzione di un contratto concluso tra interessato e titolare; o ancora se il trasferimento sia presupposto per la conclusione o esecuzione di un contratto stipulato dal titolare del trattamento; e poi quando sia necessario il trasferimento per la tutela di un diritto in sede giudiziaria o per motivi di interesse pubblico.
Allo stesso modo sembra possibile trasferire i dati anche sulla base dell’interesse legittimo cogente del titolare purchè non si tratti di un trasferimento c.d. ripetitivo, riguardi un numero limitato di interessati e che tale interesse legittimo non prevalga sugli interessi o i diritti e/o le libertà dell’interessato.

Quali saranno quindi gli accorgimenti che le aziende dovranno prendere prima del 30 ottobre 2019?
I Titolari del trattamento che trasferiscano dati verso il Regno Unito dovranno organizzarsi per tempo per il post Brexit e in particolare:
a) verificare la presenza di decisioni di adeguatezza consultando la Gazzetta Ufficiale all’interno della quale la Commissione pubblica, a norma dell’art. 45 par. 8, tali decisioni.
Attualmente le principali decisioni hanno riguardato i seguenti paesi: Andorra; Argentina; Australia- PNR; Canada; Israele; Nuova Zelanda; Svizzera; Uruguay; USA – Privacy Shield; USA- PNR.
b) in assenza di una decisione di adeguatezza, si dovrà verificare la presenza o meno di clausole-tipo della Commissione, ex art. 46 del GDPR.
Le c.d. data protection clauses consistono in modelli contrattuali standard sottoscritti da esportatore e importatore di dati da allegare ai contratti di servizio. Oppure clausole tipo dell’Autorità di controllo.
c) Fra le clausole tipo sono annoverate anche quelle “private” che siano realizzate in applicazione del c.d. principio di coerenza dell’art. 63 e che comunque debbono essere autorizzate dall’autorità di controllo ex art. 57.
d) Se sia possibile adottare nel vostro caso le BCR – Binding Corporate Rules ossia clausole infra-gruppo che ai sensi dell’art. 47 del GDPR. Si tratta di norme vincolanti imprese che svolgano attività economica comune, non necessariamente facenti parte del medesimo gruppo imprenditoriale.
e) predisporre informative e modulistiche che permettano di trasferire i dati verso la Gran Bretagna quale paese extra UE e dunque richiedendo esplicito consenso all’interessato (in ogni momento revocabile) o tramite la corretta individuazione dell’interesse legittimo.
La gestione del consenso è un’attività complicata che necessita di software adeguati che riescano a distinguere i consensi prestati e le attività possibili.
L’interesse legittimo appare forse la via più semplice ma in realtà comporta necessariamente una ponderazione degli interessi in gioco e come indicato dal regolamento l’interesse deve essere “cogente”.
Attualmente il Comitato europeo per la protezione dei dati ha adottato una nota informativa destinata alle aziende e alle PA sui trasferimenti di dati personali in caso di Brexit senza accordo con l’Ue dichiarando che il Regno Unito sarebbe divenuto paese terzo a tutti gli effetti, comprese le conseguenze del trasferimento dati.

Vai qui per l’articolo completo.

Fonte: altalex.com | di Marco Martorana

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL