Il periodo di transizione è ormai alle spalle e dal 1° gennaio scorso il Regno Unito è da considerarsi Paese Terzo secondo le definizioni del Regolamento UE 2016/679. Ormai da tempo, l’ICO (autorità garante del Regno Unito) ha pubblicato Linee Guida e FAQ relative alla fine del periodo di transizione.
La situazione di fatto
Fino al 31 dicembre il Regno Unito è rientrato in un periodo di transizione che ha comportato la continuità di applicazione di molte norme UE, tra cui il GDPR, ma dal primo gennaio esso è diventato a tutti gli effetti un Paese “Terzo”, con una serie di importanti conseguenze, sia per le aziende britanniche sia per quelle europee che intessono rapporti con l’UK.
Sono molte le aree in cui le imprese si troveranno ad affrontare le problematiche del c.d. “no deal, non per ultimo il settore della protezione dei dati.
Data l’assenza di una decisione di “adeguatezza” della Gran Bretagna da parte della Commissione Europea (titolata a stabilire quali Paesi terzi assicurino un livello di protezione paragonabile a quello dell’Unione sia dei dati personali, che di altre garanzie di “diritto”), i trasferimenti dovranno essere effettuati applicando “adeguate garanzie”. Ad esempio, le particolari Clausole Contrattuali proposte dalla Commissione, le BCR, Binding Corporate Rules, che consentono i trasferimenti “infragruppo”, i codici di condotta oppure le particolari deroghe previste dall’art. 49 del GDPR.
Vi sarebbe quindi la necessità di applicare accorgimenti supplementari ai trattamenti che prevedono una condivisione di dati personali oltre manica, come ad esempio un aggiornamento dei Registri delle attività di trattamento e delle Informative fornite ai diversi interessati, in relazione al coinvolgimento di un Paese terzo.
Dopo lunghe contrattazioni si è finalmente giunti all’accordo di commercio e cooperazione, che contiene aspetti importanti per la protezione dei dati personali e il flusso dei dati.
La “clausola ponte”
La parte più importante dell’accordo è la “bridging clause”, una “clausola ponte”, che garantirà la piena continuità dei flussi di dati tra i paesi dello Spazio Economico Europeo (SEE) e il Regno Unito dall’entrata in vigore dell’accordo e per un periodo massimo di sei mesi, senza che siano richieste azioni alle aziende.
Di fatto, il Regno Unito mantiene efficaci le norme sulla protezione dei dati applicabili durante il “transiction period” per il periodo massimo di sei mesi entro il quale non potrà esercitare i suoi “nuovi” poteri nel campo dei trasferimenti internazionali per diventare a tutti gli effetti un “Paese terzo”, in attesa delle decisioni di adeguatezza.
Ipotizzando che al termine di questo semestre di proroga non sia stata adottata nessuna decisione, la stessa ICO invita le PMI e le più grandi realtà, a prepararsi per dover utilizzare clausole contrattuali standard o a prendere in considerazione l’uso delle norme vincolanti d’impresa esistenti per effettuare trasferimenti da e verso il Regno Unito.
È importante rammentare che sia norme vincolanti d’impresa così come le clausole contrattuali standard rientrano nel più ampio ambito del trasferimento soggetto a valutazione di adeguatezza da parte del Titolare del trattamento. È, quindi, onere del Titolare analizzare se vi siano effettivamente garanzie adeguate e che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
A questo proposito, rammentando anche le indicazioni contenute nelle FAQ EDPB del 23 luglio 2020, l’utilizzo delle clausole contrattuali così come le norme vincolanti d’impresa, non esonera di per sé il Titolare dalla necessaria valutazione d’impatto ex art. 35 GDPR.
Autorità di controllo, cosa cambia?
Cambierà da subito invece meccanismo dello sportello unico, il cosiddetto One Stop Shop secondo il quale non potranno operare le disposizioni sui meccanismi amministrativi della protezione dei dati nell’UE che prevedono la nozione di Lead authority “autorità di controllo capofila” cioè l’autorità dello stabilimento principale o unico nell’UE del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (autorità interessate) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile. Pertanto, tutte le società che avevano individuato nel Regno Unito la sede principale della loro società in UE dovranno organizzarsi, se non già fatto, per creare una sede principale in un altro Paese membro oppure dovranno indicare un “rappresentante” nel territorio dell’Unione.
