Le conseguenze del possibile “Hard Brexit” sulla gestione della privacy in Europa


L’accordo siglato tra Theresa May e i leader dell’UE è stato bocciato dal parlamento britannico 3 volte, l’ultima delle quali il 29 marzo. Al momento la data ufficiale dell’uscita del Regno Unito dall’Ue è il 12 aprile, se non dovessero cambiare le cose, e non è affatto escluso che nel frattempo cambino.

Il Consiglio europeo di marzo aveva concesso la proroga dal 29 marzo al 12 aprile, per consentire alla May di trovare un consenso intorno al suo piano, ma al momento non è stato così. Intanto, è stato convocato un nuovo vertice straordinario per il 10 aprile.

 

Cosa significa “Hard Brexit”?

Al momento, visto il poco tempo a disposizione e l’opposizione di Westminster all’accordo di May, lo scenario più probabile, e più temuto sia dalla premier che dalle opposizioni è il cosiddetto “No deal”, cioè l’hard Brexit, l’uscita dall’Unione europea senza aver negoziato alcun accordo specifico.

Se il parlamento britannico non si metterà d’accordo, a mezzanotte del 12 aprile 2019, il Regno Unito sarà fuori dall’Ue.

A partire dalle 0.00 del 12 aprile, le leggi dell’Unione europea smetteranno immediatamente di avere valore nei confronti del paese e all’interno.

I cittadini europei che vivono nel Regno Unito sarebbero in un paese extracomunitario, e dunque non godrebbero più dello status giuridico attuale. Allo stesso tempo i cittadini britannici residenti all’estero, in uno degli altri 27 paesi Ue, sarebbero extracomunitari.

 

Hard Brexit e GDPR

Se non si arriverà ad un accordo, il trasferimento di dati personali verso il Regno Unito dovrà basarsi su uno degli strumenti giuridici sotto indicati, a partire dal 12 aprile:

  • Clausole-tipo di protezione dati;
  • Norme vincolanti d’impresa;
  • Codici di condotta e meccanismi di certificazione;
  • Deroghe

 

Clausole-tipo di protezione dati e Clausole ad-hoc di protezione dati

L’azienda o il soggetto pubblico può accordarsi con la controparte nel Regno Unito per utilizzare le Clausole-tipo di protezione dati approvate dalla Commissione europea. Con tali clausole si possono prestare le garanzie adeguate in termini di protezione dati che sono richieste qualora si trasferiscano dati personali verso un paese terzo.

A oggi, esistono due famiglie di clausole-tipo:

  • Per i trasferimenti da titolari nel SEE (Spazio Economico Europeo) a titolari in paesi terzi (es. UK dopo Hard-Brexit): ne esistono due formulazioni
  • Per i trasferimenti da titolari nel SEE a responsabili in paesi terzi (es. UK dopo Hard-Brexit)

 

È importante sottolineare che le clausole-tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole-tipo approvate dalla Commissione europea.

Prima di procedere al trasferimento, queste clausole contrattuali speciali necessitano dell’autorizzazione della competente autorità di controllo nazionale, preceduta in ogni caso dal parere del Comitato europeo della protezione dei dati.

 

Norme vincolanti d’impresa (BCR)

Le norme vincolanti d’impresa (BCR) descrivono le politiche di protezione dei dati cui aderiscono gli appartenenti a un gruppo di imprese (cioè, un’impresa multinazionale) al fine di offrire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo stesso – anche al di fuori del SEE.

Se l’azienda ha già implementato delle BCR, queste dovranno essere devono essere aggiornate per essere pienamente conformi alle disposizioni del GDPR (o RGDP ).

 

  1. Codici di condotta e meccanismi di certificazione

Un codice di condotta o uno schema di certificazione possono offrire garanzie adeguate ai fini dei trasferimenti di dati personali purché contengano impegni vincolanti ed esecutivi da parte del titolare o del responsabile nel paese terzo a beneficio degli interessati.

Si tratta di strumenti giuridici innovativi introdotti dal GDPR, e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

 

  1. Deroghe

È importante sottolineare che le deroghe previste dal GDPR consentono di trasferire dati verso Paesi terzi solo a determinate condizioni, e rappresentano in ogni caso eccezioni alla regola dell’esistenza di garanzie adeguate (si vedano gli strumenti sopra ricordati, quali BCR, clausole-tipo di protezione dei dati, ecc.) ovvero alla regola che ammette i trasferimenti in base a una decisione sull’adeguatezza del paese terzo. Pertanto, la loro interpretazione deve essere restrittiva e il loro utilizzo deve riguardare principalmente trattamenti occasionali e non ripetitivi.