Le incertezze dovute alla Brexit stanno mettendo sotto i riflettori anche le implicazioni legate alla circolazione dei dati personali tra Unione europea e Regno Unito.
Un mancato accordo tra le parti, il “no deal” per intenderci, porterà il Regno Unito ad essere considerato come uno Stato terzo e quindi soggetto a tutte le prescrizioni del caso definite nel GDPR.
In questo articolo faremo il punto della situazione sulle dinamiche innescate dal GDPR relativamente ai rapporti tra Ue e paesi terzi per la circolazione dei dati e analizzeremo le precauzioni da adottare per chi scambia dati con il Regno Unito a partire dal 12 aprile, ultimo giorno (dopo il rinvio dal 29 marzo) prima dell’uscita ufficiale del Regno Unito dall’UE.
I principi generali del Gdpr
I principi sui quali è incardinato il Regolamento europeo in fatto di trasferimenti di dati da e verso paesi terzi sono riportati principalmente negli articoli 44, 45, 46 e 47.
L’art. 44, rubricato come ”Principi generali per il trasferimento”, prevede che il livello di tutela dei dati previsto nell’Unione, non deve essere compromesso quando si ha un trasferimento dei dati verso un paese terzo o ad altra organizzazione internazionale inclusi successivi trasferimenti.
Con estremo rigore si precisa che il trasferimento verso paesi terzi può avere luogo solo se il titolare e il responsabile del trattamento rispettino le condizioni del regolamento.
C’è da dire, però, che il Regolamento lascia margini di autonomia poiché prevede la possibilità di stipulare accordi internazionali che garantiscono un’adeguata tutela agli interessati.
In questo modo, gli Stati membri possono concludere accordi con i paesi terzi e organizzazioni internazionali purché tali accordi garantiscano un’adeguata protezione e che non contrastino con il regolamento.
I successivi artt. 45, 46 e 47 prevedono le diverse condizioni del trasferimento dati verso paesi extra UE.
Le condizioni di adeguatezza per il trasferimento dati
In riferimento all’art. 45, rubricato ”trasferimento sulla base di una decisione di adeguatezza”, la Commissione UE determina l’adeguatezza di un paese terzo basandosi su tre elementi essenziali:
- che si tratti di uno Stato di diritto rispettoso dei diritti umani e delle libertà fondamentali;
- che ci sia un’autorità di controllo da parte di un organo indipendente diretto a vigilare sull’applicazione ed il rispetto delle norme in materia di protezione dei dati personali;
- che ci siano impegni assunti a livello internazionale in merito alla protezione dei dati personali.
In mancanza di una decisione di adeguatezza, che riguarda sostanzialmente gli Stati, il regolamento europeo mette a disposizione altri meccanismi per il trasferimento dei dati, per esempio nell’articolo 46 viene presa in considerazione la possibilità, per il titolare del trattamento di un’azienda basata in Europa, di trasferire dati personali verso un paese terzo solo se ha fornito garanzie adeguate, e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Le garanzie adeguate possono essere, per esempio, le norme vincolanti d’impresa in conformità dell’articolo 47 o le clausole “tipo” di protezione dei dati adottate dalla Commissione o adottate da un’autorità di controllo e approvate dalla Commissione.
Allo stesso modo garanzia adeguata viene considerata un codice di condotta o un meccanismo di certificazione purché contengano impegni vincolanti ed esecutivi da parte del titolare o del responsabile nel paese terzo a beneficio degli interessati.
Le deroghe
Ai suddetti vincoli sono previste delle deroghe riguardanti principalmente i trattamenti occasionali, l’articolo 49 riporta una serie di situazioni che giustificano una deroga:
- Il consenso esplicito fornito dall’interessato al trasferimento previsto, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;
- La necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato fra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;
- La necessità del trasferimento per importanti motivi di interesse pubblico;
- La necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.
I possibili rischi per i cittadini Ue
Ma a fronte di questa attenzione che troviamo nel GDPR quale sarebbe il rischio per il cittadino europeo?
Il rischio per il cittadino comune di trasferire oltre l’UE i suoi dati personali è quello di non poter esercitare il proprio diritto alla protezione dei dati con l’effetto di consentire un uso illegittimo dei dati stessi.
Seppure la normativa preveda un’attività di controllo da parte della Commissione, all’atto pratico un monitoraggio effettivo potrebbe essere inefficace vista l’impossibilità di dar corso ai reclami oppure, ancora più limitativo, nel non riuscire ad effettuare indagini oltre frontiera. A questi problemi si aggiungono, poi, quelli per la mancanza di risorse disponibili.
Al momento i paesi terzi per i quali la Commissione ha deliberato in materia di adeguatezza sono: Andorra, Argentina, Australia-PNR (Passenger Name Record), Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay a cui, da poco (gennaio 2019), si è aggiunto il Giappone.
Discorso diverso è quello per gli USA dove è previsto il Privacy Shield, ovvero uno “scudo per la privacy” fra Unione Europea e Stati Uniti: è una autocertificazione delle società statunitensi che intendano ricevere dati personali dall’Unione europea. In sostanza, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate.
Brexit, le indicazioni dei Garanti
Tornando al caso specifico del trasferimento dati da e verso il Regno Unito, vista l’imminente scadenza, il Garante della Privacy e il Comitato Europeo per la Protezione dei Dati (EDPB) consigliano di seguire le seguenti indicazioni:
- identificare quali attività di trattamento implicheranno un trasferimento di dati personali nel Regno Unito;
- determinare lo strumento di trasferimento dati più adatto alla situazione: clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d’impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.
- attuare lo strumento di trasferimento dei dati scelto per essere pronto dal primo giorno dell’uscita del Regno Unito dalla UE;
- indicare nella documentazione interna (es: registro dei trattamenti) che i trasferimenti saranno effettuati nel Regno Unito;
- aggiornare l’informativa sulla privacy di conseguenza per informare gli individui.
Da notare l’orientamento del governo britannico che prevede la libera circolazione dei dati personali dal Regno Unito verso l’Ue anche in caso di Brexit “no-deal”.
