BREXIT. Lo UK ha formalmente abbandonato l’Unione Europea e si trova attualmente in un periodo di transizione, che terminerà il 31 dicembre 2020. Da quel momento, quindi, anche il trasferimento dei dati personali dall’UE allo UK potrebbe diventare un problema. Cerchiamo di esaminare i possibili scenari e le conseguenze pratiche di quanto necessario fare per essere pronti al passaggio al nuovo regime.
Gli scenari possibili.
- a) Lo scenario a breve termine. Ovviamente fino al 31 Dicembre 2020 i dati potranno continuare a fluire da e per lo UK senza problemi, che invece cominceranno con il nuovo anno, Gli scenari possibili dipenderanno dall’andamento del negoziato ancora in corso, ma in materia di privacy si possono già trarre le prime conclusioni. Al momento, in UK come in tutta Europa, vige il GDPR e la legislazione vigente garantisce (almeno sulla carta) una situazione di “paese con garanzie adeguate”. Questa situazione, però, deve essere decisa con un provvedimento della Commissione, il che presuppone che lo UK ne faccia richiesta e che la Commissione la approvi. Il tutto (di nuovo, anche in base a come saranno andati i negoziati) potrebbe prendere dai 3 agli 8 mesi, periodo durante il quale si applicheranno gli articoli 44/49 del GDPR, che prevedono (a parte la dichiarazione di adeguatezza) che il trasferimento possa aver luogo o sulla base della Clausole Contrattuali Standard oppure in base alle norma vincolanti di impresa, ovvero in base alle altre garanzie e/o deroghe previste rispettivamente dagli articoli 46.2 e 49 del GDPR. In questo primo periodo, quindi, fino a quando non ci sia stata una decisione di adeguatezza, il trasferimento potrà avvenire o sulla base delle Clausole Contrattuali Standard o delle Norme Vincolanti d’Impresa.
- b) Lo scenario a medio/lungo termine. Più complessa è invece la previsione dello scenario a medio e lungo termine. Il problema nasce dal fatto che il premier inglese Johnson ha pubblicamente dichiarato di volersi allontanare dalla normativa europea in materia di protezione dei dati ed il suo principale consigliere, Dominic Cummings, è apertamente favorevole a questo tipo di strategia. Proprio in base a queste considerazioni, quindi, non è da dare per scontata una decisione di adeguatezza, che sulla base della situazione attuale potrebbe essere abbastanza agevole, mentre lo scenario potrebbe cambiare, anche in maniera significativa, qualora ci fossero modifiche legislative da parte dello UK.
Le attività pratiche. Quali sono quindi le azioni da porre in essere a partire dal 1 Gennaio prossimo? Bisogna agire su vari fronti. Prima di tutto occorre verificare se ci sono trasferimenti di dati in UK, sia da parte di chi è titolare che da parte dei responsabili. Mentre la ricognizione di trasferimenti diretti svolti dal titolare è facile (o comunque più agevole), la seconda richiede che a tutti i responsabili venga subito fatta una richiesta per sapere se effettuano questo tipo di trasferimenti. Ricordo che il trasferimento avviene sia quando sono inviati dati, ma anche quando, dallo UK, possono avere accesso a dati archiviati sui server dislocati in Italia o comunque in EU. Quindi la prima azione da porre in essere è quella di svolgere questa ricognizione.
Qualora vi siano trasferimenti in UK, se vengono effettuati direttamente dal titolare, è questi che deve firmare le Clausole Contrattuali Standard con il soggetto cui sono inviati i dati. Se invece i dati sono trasferiti da un responsabile, le Clausole possono essere firmate anche dal responsabile (ricordo che sono infatti previste le clausole sia da titolare a responsabile che da responsabile a sub-responsabile).
Sempre in caso di trasferimento, andrà aggiornata la informativa, come previsto dall’articolo 13.1.(f) ed andrà aggiornato anche il registro dei trattamenti, aggiungendo quanto richiesto dall’art. 30.1(e) del GDPR.