18 Mar Regole per trasferimento di dati da SEE verso il Regno Unito in caso di “hard-Brexit”

Premessa

Il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato una nota informativa che intende fornire alcuni chiarimenti per i soggetti pubblici e privati in merito ai trasferimenti di dati personali verso il Regno Unito, in caso della cd. “hard Brexit”.

Il Considerando 108 del Regolamento (UE) 679/2016 stabilisce che “in mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato. Tali adeguate garanzie possono consistere nell’applicazione di norme vincolanti d’impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo”.

In assenza di un accordo tra l’UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dal 30 marzo 2019.

Pertanto, a partire da tale data, in assenza di una decisione di adeguatezza tra UE e Regno Unito,

il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti giuridici:

1. Clausole-tipo di protezione dati, contratti “ad hoc”, clausole tipo di protezione dei dati adottate da un’autorità di controllo
2. Norme vincolanti d’impresa
3. Codici di condotta e meccanismi di certificazione
4. Deroghe ai sensi all’articolo 49 del Regolamento (UE) 679/2016[1].

Mentre, per i trasferimenti di dati dal Regno Unito al SEE, anche in caso di “hard Brexit” continuerà a vigere la libera circolazione dei dati personali.[2]

Questioni principali

I. Clausole tipo

L’art. 46.2.c) del Regolamento (UE) 679/2016 afferma che, in mancanza di una decisione di adeguatezza, il trasferimento di dati può avvenire mediante l’utilizzo delle cd. “clausole tipo” (cd. standard model clause), adottate dalla Commissione.

Per i trasferimenti da Titolari nel SEE a Titolari in paesi terzi (es. UK), si fa riferimento alla decisione della Commissione 2001/497/CE e alla decisione 2004/915/CE, mentre, per i trasferimenti da titolari nel SEE a responsabili in paesi terzi (es. UK) si fa riferimento alla decisione della Commissione 2010/87/CE

Inoltre, sulla base di quanto affermato nel Considerando 108, l’art. 46.3.a) del Regolamento (UE) 679/2016 stabilisce che, in alternativa ad una decisione di adeguatezza o della stipula delle model clause, titolare e responsabile possano realizzare clausole contrattuali apposite per disporre il trasferimento dei dati personali nel paese terzo.

Tuttavia, l’art. 46.4 precisa che tali contratti “ad hoc”, devono essere sottoposti all’autorità di controllo, la quale ha il compito di autorizzarne la validità.

II. Norme vincolanti d’impresa (BCR)

Le norme vincolanti d’impresa (BCR) sono definite dall’art. 4, n.20 del Regolamento (UE) 679/2016 come “le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune”.

Se l’azienda o l’autorità pubblica non dispone di BCRs, queste dovranno essere approvate dalla competente autorità di controllo nazionale sulla base di un parere del Comitato europeo della protezione dei dati.

III. Codici di condotta e meccanismi di certificazione

Il codice di condotta e lo schema di certificazione rientrano tra gli strumenti giuridici introdotti dal Regolamento (UE) 679/2016, e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

IV. Deroghe

Occorre sottolineare che le deroghe previste ai sensi dell’articolo 49 del Regolamento (UE) 679/2016 consentono di trasferire dati verso Paesi terzi solo a determinate condizioni, e rappresentano in ogni caso eccezioni alla regola che ammette i trasferimenti in base a una decisione sull’adeguatezza del paese terzo. Pertanto, la loro interpretazione deve essere restrittiva.

Alla luce dell’Art. 49 del Regolamento (UE) 679/2016, le deroghe in questione comprendono, fra l’altro, quanto segue:

• Il consenso esplicito fornito dall’interessato al trasferimento previsto, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
• La necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato fra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
• La necessità del trasferimento per importanti motivi di interesse pubblico;
• La necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.

Implicazioni pratiche

In caso di trasferimento di dati personali dal SEE verso il Regno Unito, le aziende e le pubbliche autorità devono:

1. Individuare i trattamenti che implicano un trasferimento di dati personali verso il Regno Unito.
2. Individuare uno strumento giuridico appropriato per il trasferimento di dati personali.
3. Implementare, entro il 30 marzo 2019, lo strumento giuridico scelto per il trasferimento.
4. Indicare nella documentazione interna che verrà effettuato un trasferimento dei dati personali verso il Regno Unito.
5. Aggiornare le informative sulla protezione dei dati[3].

[1] EDPB, Linee guida n. 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento (UE) 679/2016, adottate il 25 maggio 2018.

[2] Garante per la protezione dei dati personali, Trasferimento in caso di “hard Brexit”, aggiornato il 28 febbraio 2019.

^[3] EDPB, Information note on BCRs for companies which have ICO as BCR Lead Supervisory Authority –  12 febbraio 2019.