Brexit: cosa fare in materia di trattamento dei dati?

13 january 2021

Il Garante ha reso noto, con comunicazione pubblicata il 7.1.2021, che visto che il Regno Unito  ha lasciato l'UE, occorre considerarlo un Paese terzo, ed in quanto tale occorre fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. 

Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.

 

Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio sopra ricordato.

Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.

Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese terzo non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.

In ogni caso, dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all'applicazione del GDPR ai sensi dell'articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell'articolo 27 sempre del GDPR. Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese - ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito - di rivolgersi al Garante per la tutela dei loro diritti.

 

News archive

 

Firm news

mar21

21/03/2024

Correttivo al Codice delle Comunicazioni Elettroniche

Il 20 marzo 2024, il Consiglio dei Ministri ha approvato, in esame definitivo, le disposizioni correttive al decreto legislativo 8 novembre 2021, n. 207, di attuazione della direttiva (UE)

mar20

20/03/2024

Telemarketing

Attuazione del Codice di Condotta con l' accreditamento dell'organismo di monitoraggio da parte del Grante privacy. Con l’accreditamento dell’Organismo di monitoraggio (OdM) si completa

mar19

19/03/2024

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI COMUNICATO Avviso pubblico di avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta el

Il Garante per la protezione dei dati personali, con provvedimento del 22 febbraio 2024, n. 127, pubblicato sul sito web istituzionale (www.garanteprivacy.it), ha deliberato l'avvio di una procedura