Premessa: ricordiamo intanto le regole per l’Italia
I trasferimenti di dati personali verso Paesi extra UE e non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:
senza autorizzazione da parte del Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici;
• le norme vincolanti d’impresa;
• le clausole tipo;
• i codici di condotta;
• i meccanismi di certificazione.
previa autorizzazione del Garante:
• le clausole contrattuali ad hoc;
• gli accordi amministrativi tra autorità o organismi pubblici.
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (es. consenso, contratto ecc.).
Cos’ha deciso il Garante Italiano all’indomani dell’uscita della Gran Bretagna dall’Unione Europea?
Sulla pagina dedicata al trasferimento dati all’estero prontamente aggiornata si dice che sino al termine del periodo transitorio fissato al 31 dicembre 2020 tutto rimarrà immutato ed in particolare:
A partire da tale data ha avuto inizio il periodo transitorio. Questo periodo, limitato nel tempo, è stato concordato nel quadro dell’accordo di recesso tra l’Unione europea e il Regno Unito che prevede l’applicazione a quest’ultimo del diritto dell’Unione, ivi comprese le disposizioni del Regolamento UE 2016/679 relativo alla protezione dei dati, fino al 31 dicembre 2020.
Mentre interessante è vedere come cambierà la situazione a partire dal 2021 se non interverrà una decisione di adeguatezza. Evento molto probabile soprattutto alla luce delle dichiarazioni del primo ministro Boris Johnson rilasciate i primi di febbraio 2020: “Il Regno Unito cercherà di divergere dalle norme dell’UE sulla protezione dei dati e di stabilire i propri controlli “sovrani” sul campo (… )”.
Il Garante italiano a tal proposito ha altresì stabilito che: “alla fine del periodo transitorio, i trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui all’art. 46 del Regolamento UE 2016/679 (in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono comunque utilizzare le deroghe di cui all’art. 49 del Regolamento a determinate condizioni), salva l’adozione da parte della Commissione europea di una decisione che riconosca che il Regno Unito garantisce un livello di protezione adeguato (art. 45 del Regolamento UE 2016/679).”
E per quanto riguarda la Svizzera?
L’incaricato Federale della protezione dei dati e della trasparenza, sul proprio sito web, ha prontamente precisato che: “il Regno Unito e Gibilterra figurano attualmente fra i Paesi che offrono un adeguato livello di protezione e l’IFPDT non dispone al momento di indicazioni che lascino presupporre un cambiamento del loro statuto. In considerazione delle conseguenze giuridiche della Brexit sulla protezione di dati a carattere personale a partire dal 1° febbraio 2020, l’autorità britannica per la protezione di dati a carattere personale (ICO) ha anche indicato sul suo sito web che nel Regno Unito sarà garantito un elevato grado di protezione dei dati a carattere personale.
Qualora dovesse tuttavia considerare nel suo elenco un cambiamento dello statuto del Regno Unito o di Gibilterra, l’IFPDT provvederebbe a informarne a tempo debito le imprese affinché possano prepararsi, ricorrendo in particolare alla stipulazione di contratti standard.”
