Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione Europea, si è completato il processo cosiddetto di Brexit e ora è considerato a tutti gli effetti un Paese terzo. Quali sono le conseguenze in termini di protezione e trasferimento dei dati? Vediamolo insieme.
Il 30 dicembre 2020 è stato stipulato un Accordo commerciale e di cooperazione tra Regno Unito e Unione europea che regola i flussi di dati verso il Regno Unito e prevede che quest’ultimo continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi. Di conseguenza, fino al 30 giugno 2021, qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli fino al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un Paese terzo.
Nel frattempo, la Commissione europea e il Governo UK si sono impegnati – sempre in base all’Accordo – a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio iniziale di 6 mesi.
Se così non fosse, si applicheranno tutte le disposizioni del GDPR – Capo V, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’UE (più esattamente dal SEE, lo Spazio Economico Europeo) verso un Paese terzo non adeguato.
In assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), le disposizioni ammettono alcune deroghe, ma solo in via residuale e secondo un approccio molto restrittivo.
Contenziosi e reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito
Dato che dal 1 gennaio 2021 il Regno Unito sarà considerato Paese terzo, questo non potrà più applicare il meccanismo dello “sportello unico” (one stop shop), che disciplina questi contenziosi fra i paesi del SEE.
In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo.
Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.
In ogni caso, dal 1 gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che sono soggetti all’applicazione del GDPR ai sensi dell’Articolo 3 – Paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE, a norma dell’Articolo 27 del GDPR.
Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate, per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR.
Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.
Hai bisogno di una consulenza specifica sulla gestione del flusso di dati verso un Paese terzo? Richiedi una consulenza con il nostro staff utilizzando il form di contatto sottostante.
