Il Regno Unito lascia l’Europa. Come si applica il GDPR post Brexit?


Oggi, 31 gennaio del 2020 alle ore 00:00 (ora di Bruxelles), il Regno Unito lascerà l’Unione Europea.

Per chi gestisce un’organizzazione che abbia anche solo un minimo livello di internazionalizzazione sa bene quanto sia complesso affrontare la questione, dal momento che l’incertezza generata dal processo di uscita sta creando numerosi problemi e lasciando aperti diversi interrogativi.

Le aziende che avevano registrato un marchio o un modello di design europeo, potrebbero rischiare di trovarsi senza adeguate coperture nel mercato britannico. Chi svolge attività di import-export si troverà ad affrontare grattacapi ben peggiori. Per non parlare di chi si sta occupando di temi legati alla privacy e alla protezione dei dati personali.

Per molti consulenti e DPO, che negli ultimi mesi si sono adoperati per rendere conformi al GDPR aziende, associazioni e freelance, la Brexit avrà un impatto significativo nei piani di adeguamento al Regolamento Europeo.

Molti infatti di loro si stanno infatti chiedendo: sarà ancora possibile trasferire liberamente i dati nel Regno Unito? Cosa deve fare la filiale dalla mia azienda con sede a Londra? Come mi dovrò comportare dopo la Brexit per offrire prodotti e servizi ai cittadini britannici nel rispetto della normativa?

Le risposte dell’ICO

L’ICO, ovvero l’autorità garante inglese, risponde ad una serie di domande per chiarire come verrà applicato il GDPR ora che fra Regno Unito e Unione Europea esiste un “Withdrawal Agreement”.

E’ possibile leggere le FAQ sul sito web dell’ICO a questo link: https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf

E’ necessario specificare che l’ICO risponde alle domande dal punto di vista di un’azienda britannica, ma queste sono comunque un ottimo spunto per capire quali potrebbero essere le implicazioni da parte di un’azienda Europea che intende trattare dati di cittadini britannici.

 

Il periodo di transizione

A partire dal 31 gennaio, vi sarà un periodo di transizione fino alla fine del 2020 per concedere il tempo necessario a negoziare una nuova relazione con l’UE. Durante la transizione, il GDPR continuerà ad applicarsi nel Regno Unito seguendo le indicazioni già esistenti.

 

Il termine del periodo di transizione

Ciò che succederà al termine del periodo di transizione dipenderà dai negoziati condotti durante questo lasso di tempo.

La posizione di default è la stessa di una Brexit no-deal: il GDPR verrà introdotto nella legge del Regno Unito come “UK GDPR”, ma potrebbe volerci del tempo prima che siano definiti con chiarezza i criteri per l’applicazione di alcuni punti fondamentali, come quello del trasferimento dei dati,

 

Un’azienda con sede nel Regno Unito ha bisogno di un rappresentante europeo?

No, durante il periodo di transizione non è necessario nominare alcun rappresentante, ma potrebbe diventare necessario al termine del periodo di transizione.

 

Il Regno Unito applicherà ancora il GDPR una volta lasciata l’UE?

Il GDPR è un regolamento UE e, in linea di principio, non verrà più applicato al termine del periodo di transizione.
Il governo intende incorporare il GDPR nella legge britannica sulla protezione dei dati dalla fine del periodo di transizione. Ciò significa che, nella pratica, ci saranno poche modifiche circa i principi, diritti e doveri indicati nel GDPR.

E’ necessario ricordare che un’azienda britannica dovrà comunque applicare il GDPR qualora questa operi in Europa e tratti dati di cittadini europei.

 

Quale sarà la legge sulla protezione dei dati nel Regno Unito?

La legge sulla protezione dei dati nel Regno Unito è il “Data Protection Act 2018 (DPA 2018)”, che attualmente continuerà a integrare il GDPR. Le disposizioni del GDPR saranno incorporate direttamente nella legge del Regno Unito dalla fine del periodo di transizione.

 

Quale ruolo avrà l’ICO?

L’ICO rimarrà l’organismo di controllo indipendente in merito la legislazione sulla protezione dei dati del Regno Unito.
Durante il periodo di transizione l’ICO si impegnerà nella cooperazione secondo il principio di coerenza ai sensi del GDPR.
Il governo del Regno Unito continuerà a lavorare mantenere saldi i rapporti tra l’ICO e gli organismi di vigilanza dell’UE anche al termine del periodo di transizione.

 

La guida GDPR redatta dell’ICO è ancora pertinente?

Sì. Ci si aspetta che la legge sulla protezione dei dati del Regno Unito sarà con il GDPR.

 

E’ ancora possibile trasferire i dati da e verso l’Europa?

Il governo inglese ha affermato che i trasferimenti di dati dal Regno Unito allo Spazio economico europeo (SEE) non sarà limitato. Tuttavia, al termine del periodo di transizione, verranno applicate le regole di trasferimento dei dati (art. 44 – 49) in paesi ExtraUE come indicato nel GDPR riguardo qualsiasi dato proveniente dal SEE nel Regno Unito.

 

Le indicazioni del Garante Italiano

Al momento non vi sono indicazioni precise riguardo all’applicazione del GDPR post-Brexit.

Lo scorso anno, il Garante aveva pubblicato una nota, affiancata da un’infografica ora non più disponibile sul sito web del Garante italiano, con indicazioni sul trasferimento di dati in caso di Hard Brexit, di uscita del Regno Unito dalla UE senza accordo.

Le informazioni riprendono quanto comunicato dal Comitato Europeo per la Protezione dei Dati (EDPB) nella nota informativa del 12 febbraio 2019.

I cinque punti da seguire:

  1. Identificare quali attività di trattamento implicheranno un trasferimento di dati personali verso il Regno Unito.
  2. Individuare uno strumento appropriato per il trasferimento dei dati personali verso il Regno Unito, come “clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d’impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni”.
  3. Implementare entro il 30 marzo 2019 lo strumento scelto per il trasferimento dati.( *tale data coincide con una delle vecchie date indicate come possibile uscita del Regno Unito senza accordo)
  4. Indicare nella documentazione interna (es: registro dei trattamenti) i trasferimenti di dati personali verso il Regno Unito.
  5. Aggiornare le informative sulla protezione dei dati.