Brexit e GDPR: Cosa è cambiato dal 1 gennaio 2021

Paola Righetti

Paola Righetti

Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea: si è completato il processo cosiddetto di “Brexit”. Quali sono le conseguenze del trasferimento dei dati personali al regno unito in termini di protezione dati?

Paese terzo rispetto alla UE

Con l’uscita dalla UE, il Regno Unito è diventato un paese terzo. Come tale le aziende britanniche dovranno sottostare alle regole per il trasferimento dati definite nel GDPR:

  • Trasferimento sulla base di una decisione di adeguatezza (art. 45);
  • Trasferimento soggetto a garanzie adeguate (art.46);
  • Norme vincolanti di impresa (art.47).

 

Cosa cambia?

Con l’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea:

  • ci sarà un periodo transitorio massimo di sei mesi in cui i trasferimenti di dati personali dall’UE verso il Regno Unito saranno liberi;
  • il Regno Unito non sarà considerato un “Paese terzo”;
  • dal 1° gennaio 2021 le aziende con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica autorità capofila per tutti gli obblighi previsti dal Regolamento UE;
  • le società con sede nel Regno Unito che trattano dati di cittadini europei, anche dopo il termine dei sei mesi, dovranno continuare a rispettare le disposizioni dettate dal Regolamento, e quindi devono nominare un rappresentante nel SEE.

 

Utilizzo per 6 mesi del GDPR

L’Accordo commerciale e di cooperazione prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021).

Di conseguenza:

  • in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 ;
  • il Regno Unito non sarà considerato un “Paese terzo” e quindi non saranno necessarie clausole contrattuali standard o altri mezzi previsti dagli articoli 46 o 49 del GDPR;
  • il Regno Unito ha riconosciuto che, durante tale periodo, le leggi sulla privacy dell’Unione europea sono adeguate per il trasferimento dei dati dal Regno Unito nei Paesi dell’Unione;
  • il periodo di transizione potrebbe essere più breve qualora la Commissione europea adottasse tempestivamente una decisione di adeguatezza.

 

Cosa accadrà dal 1 luglio 2021?

La Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza. In questo modo i flussi di dati potrebbero continuare anche successivamente al periodo transitorio.

Se non si riuscisse ad arrivare ad un accordo comune, si applicheranno tutte le disposizioni del Capo V del GDPR. Quindi, il trasferimento dei dati personali al regno unito dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso la Gran Bretagna, saranno necessarie l’adozione di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta).

 

Contenziosi Transfrontalieri

Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE.

In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo.

Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.

 

Rappresentante delle aziende britanniche

Il Regolamento UE 2016/679, ricordiamo, si applica nelle seguenti situazioni:

  • la sede operativa della società si trova all’interno di uno Stato membro;
  • la società offre servizi e beni a cittadini europei;
  • la società effettua un qualsiasi trattamento di dati personali di cittadini europei.

Di conseguenza, le società con sede nel Regno Unito che trattano dati di cittadini europei, anche dopo il termine dei sei mesi, dovranno continuare a rispettare le disposizioni dettate dal Regolamento.

Dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell’articolo 27 sempre del GDPR.

Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.

"GOOGLE ANALYTICS E TRASFERIMENTI DI DATI"

Scopri come salvaguardare i dati personali dei tuoi visitatori con la nostra guida!
CATEGORIE ARTICOLI

ULTIME NOTIZIE

Lascia un commento al mio articolo e se ti è piaciuto, condividilo con i tuoi amici,

Share:

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy