Brexit: cosa fare per trasferire i dati in UK?

Come è noto, dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione Europea, completando il lungo percorso della Brexit.

Quali sono le conseguenze della Brexit per quanto riguarda la protezione dei dati personali?

Dato che il Regno Unito è diventato un Paese terzo rispetto alla UE, i flussi di dati verso il territorio UK sono oggi disciplinati dall’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 con la UE che, in conseguenza della Brexit, prevede quanto segue:

  1. il Regno Unito continuerà ad applicare il Regolamento Europeo 2016/679 (il nostro GDPR, per intenderci) per un periodo massimo di 6 mesi, cioè fino al 30 giugno 2021;
  2. fino al 30 giugno 2021, quindi, la Brexit non avrà grandi conseguenze sul trattamento dei dati personali perchè, in questo periodo, qualsiasi trasferimento di dati personali verso il Regno Unito potrà avvenire in base alle regole del nostro GDPR, come è avvenuto fino ad ora;
  3. non sarà, però, applicabile il meccanismo “one stop shop” che individua l’Autorità capofila e disciplina i contenziosi e i reclami transfrontalieri in materia di protezione dei dati con Titolari o Responsabili del trattamento stabiliti in UK, a meno che, questi ultimi, non individuino un nuovo stabilimento principale in uno Stato Membro della UE;
  4. i Titolari e i Responsabili del trattamento con sede in UK che, anche dopo la Brexit, saranno soggetti all’applicazione del GDPR (in base al principio previsto dall’articolo 3, paragrafo 2 dello stesso GDPR), dovranno designare un “rappresentante” nel SEE, come prescritto dall’articolo 27 del GDPR.

Cosa succede, invece, dopo il 30 giugno 2020?

La Commissione europea e il Governo UK si sono impegnati a lavorare su reciproche decisioni di adeguatezza che consentano, anche dopo il periodo transitorio post-Brexit, la circolazione dei flussi di dati senza interruzioni.

Se non dovesse, però, raggiungersi l’intesa al riguardo, si dovranno applicare le disposizioni del GDPR in materia di garanzie adeguate, cioè:

  • clausole contrattuali tipo;
  • norme vincolanti d’impresa;
  • accordi amministrativi;
  • certificazioni;
  • codici di condotta o
  • in alcuni limitati casi, anche il consenso esplicito dell’interessato (per situazioni sporadiche o occasionali).

Utilizzate, quindi, questo periodo transitorio per verificare la vostra situazione ed essere preparati ai diversi scenari che possono verificarsi dopo il 30 giugno 2021.

Alessandro Ronchi

Informazioni su Alessandro Ronchi

Avvocato, appassionato di digital & data protection law
Questa voce è stata pubblicata in Privacy, Strumenti per il business e contrassegnata con , , , . Contrassegna il permalink.

Cosa ne pensi? Lascia il tuo commento!