Privacy: la Commissione Europea interviene sulle conseguenze della “Brexit” nel campo della data protection.

Privacy: la Commissione Europea interviene sulle conseguenze della “Brexit” nel campo della data protection.

Con il comunicato stampa del 9 gennaio 2018, la Commissione Europea ha ricordato che il Regno Unito ha notificato la sua intenzione di avvalersi della clausola di recesso contenuta all’interno dell’art. 50 del TFUE (c.d. “Brexit”) con rilevanti effetti in materia di protezione dei dati personali.
Bruxelles sottolinea che il diritto primario e secondario dell’Unione non sarà più applicabile al predetto Stato dalle ore ventiquattro del 30 marzo 2019, salvo che, medio tempore, venga formalizzato e stipulato un “accordo di recesso” che proroghi tale data.
Salvo tale possibile accordo, dal momento in cui la Brexit sarà efficace, il Regno Unito sarà considerato alla stregua di un Paese c.d. “terzo” anche con riferimento al trattamento dei dati personali e si applicheranno le disposizioni relative al trasferimento dei dati verso i paesi non appartenenti all’Unione Europea o non ricompresi all’interno dello Spazio Economico Europeo (SEE).
Con riferimento alla specifica disciplina applicabile al caso di specie, è opportuno ricordare che, in linea di principio, il trasferimento di dati personali da Paesi UE a Paesi extra UE è vietato sia dalla Direttiva 95/46/CE che dal Regolamento (UE) 679/2016 (o “GDPR”), il quale entrerà definitivamente in vigore dal 25 maggio 2018.
Come ricorda la Commissione Europea nel menzionato comunicato, tale divieto viene mitigato nel caso in cui la stessa Commissione adotti una “decisione di adeguatezza”, la quale ha il precipuo scopo di verificare la compatibilità della disciplina relativa al trattamento dei dati del Paese terzo con quella del Paese di provenienza, anche al fine di prevedere e legittimare un regime di libera comunicabilità del dato tra gli Stati.
Alla luce della disciplina introdotta dal GDPR, la Commissione chiarisce che, in mancanza della predetta decisione, il trasferimento dei dati sarà consentito solo qualora i titolari o i responsabili del trattamento abbiano efficacemente approntato adeguate garanzie, le quali potranno consistere alternativamente nell’adozione di:
1. clausole contrattuali standard inserite all’interno dei contratti che regolamentano il trasferimento dei dati;
2. BCR (o “Norme vincolanti d‘impresa” nella versione italiana), le quali consistono in un regolamento adottato nell’ambito di un gruppo multinazionale che contiene una serie di clausole e principi validi per tutte le società del gruppo e relativi al trattamento dei dati;
3. codici di condotta contenenti impegni vincolati in merito al trattamento;
4. meccanismi di certificazione contenenti anch’essi impegni vincolati in merito al trattamento dei dati.
Infine, anche in mancanza delle predette garanzie, il trasferimento potrà avvenire solo sulla base delle c.d. “deroghe”, in forza delle quali il trasferimento è ammesso solo in casi specifici, tra cui, a titolo esemplificativo e non esaustivo, presenza di consenso da parte dell’interessato, esecuzione di un contratto in cui l’interessato è parte o nel caso in cui sussistano gravi motivi di interesse pubblico.
Notice_withdrawal_UnitedKingdom_EU_privacy_rules

CONDIVIDI