Feb 20

Privacy: il Comitato europeo per la protezione dei dati personali ricorda le cautele da adottare per i trasferimenti di dati verso il Regno Unito, nell’ipotesi di “hard brexit”.

In data 12 febbraio 2019, con due distinte note informative, il Comitato europeo per la protezione dei dati personali (“EDPB”) ha ricordato le cautele che gli operatori, pubblici e privati, dovranno adottare, sulla base del Regolamento (UE) 2016/679 (“GDPR”), per i trasferimenti di dati verso il Regno Unito a partire dal 30 marzo 2019 e in caso di mancato raggiungimento di un accordo sul recesso di detto Stato dall’Unione (c.d. “hard Brexit” o “No-deal Brexit”).  Con la prima nota[1], l’EDPB suggerisce agli operatori, in assenza di una decisione di adeguatezza nei confronti del Regno Unito, adottata sulla base dell’articolo 45 del GDPR, di verificare se e quali delle loro attività di trattamento implicano il trasferimento di dati verso il Regno Unito, per poi adottare, entro il 30 marzo 2019, gli strumenti più opportuni per gli eventuali trasferimenti (in particolare, clausole standard sul trasferimento, clausole ad hoc per il trasferimento, BCR, codici di condotta e meccanismi di certificazione). Dell’avvenuta adozione di tali strumenti deve esserne data notizia tanto nella documentazione interna, quanto nelle informative agli interessati.

Con riferimento alle “Binding corporate rules” (“BCR”), nella seconda nota[2] l’EPBD ha specificato che, in caso di hard Brexit, i gruppi di imprese con sede principale nel Regno Unito:

  • se intendono adottare delle BCR e non hanno ancora avviato la relativa procedura, devono scegliere un’Autorità di controllo europea diversa da quella inglese (ossia l’“ICO”) per poter procedere all’adozione delle stesse. La scelta deve essere giustificata sulla base dei criteri fissati dal Working Party article 29 (“WP29”) nel provvedimento WP263[3], adottato l’11 aprile 2018.
  • se al 30 marzo 2019 hanno già avviato la procedura di adozione delle BCR e questa non sia ancora conclusa, davanti all’Autorità di controllo inglese devono avviare una nuova procedura davanti ad altra Autorità di controllo europea, individuata secondo i criteri richiamati.
  • se al 30 marzo 2019, attendono l’approvazione del progetto di decisione da parte dell’EDPB, ma non si è conclusa la procedura di adozione delle BCR davanti all’Autorità inglese, devono scegliere, secondo i criteri richiamati, un’altra Autorità di controllo europea, la quale invierà un nuovo progetto di decisione al Comitato.
  • i gruppi di imprese che, avendo iniziato la procedura di adozione davanti all’Autorità di controllo inglese, al 30 marzo 2019 abbiano già ottenuto l’approvazione delle BCR da parte del Comitato, devono scegliere un’altra Autorità di controllo europea per la relativa supervisione.

Sono fatte comunque salve le deroghe previste dall’art. 49 del GDPR[4], ricorrendo le quali è possibile effettuare il trasferimento di dati verso Paesi terzi senza necessità di adottare le cautele previste in caso di trasferimenti all’estero.

Sulla base delle osservazioni dell’EDPB, il Garante per la protezione dei dati, in data 18 febbraio 2019, ha pubblicato sul suo sito istituzionale un’infografica dove sono indicate le azioni da intraprendere per trasferire i dati verso il Regno Unito in caso di “no-deal Brexit”.

[1] EDPB – “Information note on data transfers under the GDPR in the event of a no-deal Brexit”

[2] EDPB – “Information note on BCRs for companies which have ICO as BCR Lead Supervisory Authority”

[3] Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR

[4] V. EDPB – Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679.

EDPB_20190212_nodeal_brexit

EDPB_20190212_bcr_brexit

Garante_privacy_Infografica