BREXIT E DATI PERSONALI: CONSEGUENZE DELLA NORMATIVA SUL TRATTAMENTO
Con l’inizio del nuovo anno in corso si è appreso una notizia geo-politica che ha avuto, e continua ad avere, un vivido impatto anche a livello di protezione dei dati personali.
Ed invero, dal 1° gennaio 2021, il Regno Unito è uscito dall’Unione europea e pertanto deve essere considerato, a tutti gli effetti, un paese terzo.
Tale considerazione non solo ha riflessi in termini giuridici: si pensi a chi ha scelto di andare in Inghilterra per motivi di lavoro o di studio (basterà avere con sé solo la carta di identità? A livello sanitario, sarà necessario fare un’assicurazione?) o a chi semplicemente ha prenotato un viaggio aereo verso tale Stato, Covid permettendo.
Sicuramente, considerare l’Inghilterra un paese terzo comporta molteplici conseguenze in termini di applicazione del GDPR e di tutele per i cittadini comunitari sotto tale profilo che attualmente (o hanno in progetto) di risiedere in territorio inglese.
In via preliminare, è necessario premettere che i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE unitamente a Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti solo se si fornisca prova che il Paese terzo destinatario del dato abbia adottato una normativa di protezione dei dati personali con un livello di garanzie sufficientemente pari a quelle dettate dal Regolamento UE 679/2016.
L’adeguatezza del Paese terzo o dell’organizzazione deve essere riconosciuta tramite decisione della Commissione europea ai sensi dell’45 del Regolamento UE 2016/679).
Qualora non sia ancora intervenuta una simile decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
Sotto tale profilo, è possibile suddividere ulteriormente l’ipotesi della mancanza di una specifica decisione di adeguatezza distinguendo fra garanzie adeguate, senza autorizzazione da parte del Garante, tra le quali possono menzionarsi: gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a); le norme vincolanti d’impresa (art. 46, par. 2, lett. b, le clausole tipo (art. 46, par. 2, lett. c e lett. d), i codici di condotta (art. 46, par. 2, lett. e), i meccanismi di certificazione (art. 46, par. 2, lett. f).
Possono invece essere considerate garanzie adeguate, previa autorizzazione del Garante, le seguenti fattispecie: le clausole contrattuali ad hoc (art. 46, par. 3, lett. a) e gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b).
In extrema ratio, in assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni disciplinate dall’ art. 49 del Regolamento UE 2016/679, ai sensi del quale è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
- a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
- e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
In ogni caso, l’Autorità Garante della protezione dei dati personali ha sottolineato che, in caso di trasferimento dei dati verso il Regno Unito, è necessario, al momento, applicare l’“Accordo commerciale e di cooperazione” stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea il quale prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021).
Pertanto, in attesa di conoscere ulteriori determinazioni sul tema da parte del Garante privacy, sia italiano sia europeo, ogni trasferimento di dati personali verso il Regno Unito non può ancora essere ritenuto un vero e proprio trasferimento di tal tipo.
Il consiglio rivolto ai Titolari del trattamento, in ogni caso, è quello di iniziare a mappare tutti i flussi dei dati personali oggetto di proprio trattamento e prestare la massima attenzione in caso si stia utilizzando un server o un applicativo, fisico o in cloud, dal quale emerga che i dati sono trattati, elaborati nonché conservati all’interno del Regno Unito.
Avv. Eleonora Mataloni