In un momento di grande confusione politica in ordine alle possibilità di una soft Brexit, il Comitato Europeo per la Protezione dei Dati – costituito dai rappresentanti di tutti i Garanti Europei nazionali – senza voler attendere la data 31 marzo 2019 ha emanato una nota informativa in cui dà già indicazioni a tutti i soggetti, pubblici e privati, su quali misure adottare nel caso di “hard Brexit”, ovvero di uscita dell’UK dall’Unione Europea senza un preventivo e controllato accordo con l’UE.
In tale ultimo caso, infatti, l’UK a partire dal primo aprile 2019 diventerà a tutti gli effetti un c.d. “Paese terzo”, per cui andrà giustificato e regolato il trasferimento dei dati come verso qualunque altro Paese estraneo all’Unione Europea.
Il Comitato Europeo per la Protezione dei Dati, le cui indicazioni sono state integralmente recepite dal Garante italiano, ha quindi già indicato alcuni strumenti concreti per adottare sin da subito – senza attendere la data spartiacque del trentun marzo – strumenti adeguati per mettersi in regola:
– la prima opzione indicata dalla EDPB è l’adozione di Clausole-tipo di protezione dati e Clausole ad-hoc di protezione dati
Si tratta di clausole, predisposte e già approvate dalla Commissione Europea che, una volta recepite integralmente dalle parti ed appositamente sottoscritte, vanno a costituire un impegno contrattuale
– la seconda opzione indicata è l’adozione di Norme vincolanti d’impresa (BCR)
Si tratta di clausole che regolamento il trasferimento dei dati tra le società di un gruppo aziendale e non riguardo a società esterne, quindi coprono unicamente i trasferimenti di dati infragruppo
– la terza opzione è l’adozione di Codici di condotta e meccanismi di certificazione
Si tratta di uno strumento innovativo previsto dal GDPR, ma ancora mancano linee guida e indicazioni univoche su quale debba essere il contenuto al fine di essere conforme alla normativa.
A livello pratico, qualunque soggetto allo stato effettui, nell’ambito dei trattamenti svolti, trasferimenti di dati in UK, è tenuto prima del termine del 31 marzo 2019 a:
– registrare quali dati e per quali finalità vengano effettivamente trasmessi in UK, e quindi individuare quali trattamenti siano interessati dai predetti trasferimenti
– individuare i soggetti a cui si trasferiscono dati in UK
– una volta chiarito quanto sopra, predisporre e sottoscrivere con tali soggetti accordi vincolanti contenenti anche specifiche prescrizioni sulle modalità di trattamento, le misure di sicurezza adottate, le garanzie organizzative e tecniche fornite al soggetto trasmittente
– a cascata, adeguare le informative e la documentazione interna, in particolare il registro dei trattamenti, ricomprendendo i trattamenti con le specifiche garanzie di cui sopra
La particolare sollecitudine mostrata dall’EDPB nell’adozione della nota di cui ci siamo occupati induce lo studio a consigliare vivamente a tutti gli operatori di adottare, entro la fine del mese, ogni misura ritenuta adeguata per la regolamentazione dei trasferimenti dei dati dal territorio europeo al Regno Unito, sulla base anche delle indicazioni fornite dalle competenti autorità, nell’ottica del principio di accountability, principio fondante la normativa del GDPR.