Hard Brexit ed Estremo Oriente: la privacy per gli operatori economici

16/05/2019
di Yuri Monti

Importanti e sostanziali modifiche hanno investito l’atlante geografico della privacy nelle ultime settimane, ridefinendo i confini applicativi della normativa e gli strumenti a disposizione degli operatori economici per la gestione internazionale dei dati personali.

Nuove frontiere: il caso del Giappone

L’Estremo Oriente non sembra più così distante, almeno dal punto di vista della data protection: è notizia del 23 gennaio scorso l’adozione, da parte della Commissione Europea, della Decisione di Adeguatezza nei confronti del Giappone. Tale meccanismo è disciplinato dall’art. 45 del Regolamento UE n. 2016/679 (GDPR), e consente il libero trasferimento verso Paesi non appartenenti allo Spazio Economico Europeo a fronte di un “livello di protezione adeguato” garantito dal Paese in questione. La decisione viene presa dalla Commissione previa valutazione di alcuni elementi essenziali del sistema destinatario, quali lo stato di diritto e gli impegni internazionali del Paese in tema di trattamento dei dati.

I trasferimenti di dati in Giappone non necessiteranno, quindi, di ulteriori e specifici meccanismi autorizzativi. Ne sono esempi la sottoscrizione di clausole contrattuali standard – modelli tipo approvati da Commissione Europea o Autorità di controllo – o la previsione di Binding Corporate Rules – le regole interne alle aziende multinazionali, approvate dalle Autorità nazionali in materia, volte a disciplinare i flussi transfrontalieri di dati. Sarà dunque sufficiente, a livello contrattuale, richiamare la decisione come garanzia del trasferimento.

Nuovi confini: le conseguenze della Brexit

Il lungo e travagliato addio del Regno Unito all’Unione Europea si ripercuote anche sull’applicabilità del GDPR e sulla gestione dei trattamenti in territorio britannico.

L’European Data Protection Board (EDPB) si è espressa sul punto, e ha provato a fare luce nelle nebbie che accompagnano il cambiamento epocale a livello di UE. In una nota esplicativa del 12 febbraio scorso, il Comitato Europeo ha delineato le conseguenze di una eventuale Hard Brexit, vale a dire l’ipotesi di un’uscita dal novero dei 28 Stati membri con abbandono di qualsiasi trattato ed istituzione, e senza il raggiungimento di un accordo tra UE e UK che disciplini tale passaggio.

In tale scenario, a decorrere dalla mezzanotte del 30 marzo 2019, il Regno Unito diverrebbe un Paese Terzo anche ai sensi del GDPR, trovando piena applicazione quanto previsto al Capo V dello stesso Regolamento. Il trasferimento di dati oltremanica si andrà a configurare come trasferimento al di fuori dello Spazio Economico Europeo, e dovrà essere assistito da una delle garanzie disciplinate agli artt. 46 e seguenti:

  • Presenza di una eventuale Decisione di Adeguatezza approvata dalla Commissione; la soluzione potrebbe essere quella più opportuna, alla luce dei pluriennali rapporti diretti avuti con il sistema di data protection britannico, coinvolto anch’esso nel processo di genesi del GDPR.
  • Implementazione delle Clausole Contrattuali Standard come approvate dalla Commissione Europea, non modificabili e definite strumento “pronto all’uso”.
  • Presenza di Binding Corporate Rules.
  • Sussistenza di codici di condotta o meccanismi di certificazione; tali strumenti di garanzia sono una delle novità introdotte dal GDPR, e sono indicate come oggetto di futuro intervento da parte dello stesso Comitato.
  • Applicazione di una delle deroghe previste all’art. 49 GDPR a cui si deve far ricorso solamente in caso di mancata sussistenza delle precedenti misure e a fronte di trattamenti occasionali.

L’EDPB individua anche gli step che gli operatori economici coinvolti in flussi di dati verso il Regno Unito devono considerare con l’approssimarsi della Brexit. I passaggi di maggior rilievo risultano essere quelli dell’allineamento documentale: una volta individuato e definito lo strumento idoneo a garantire il trasferimento, i soggetti operanti all’interno dello Spazio Economico Europeo dovranno dare contezza di ciò nei rapporti con gli interlocutori UK (inserendo specifico riferimento a livello di contratti) e nei rapporti con gli interessati (attraverso puntuale indicazione all’interno dell’informativa).

Il Comitato Europeo chiude la propria nota affrontando anche il tema anche dalla prospettiva inversa, e sancisce che anche in caso di Hard Brexit sarà mantenuto un regime di libero trasferimento di dati personali dal Regno Unito verso l’Unione Europea.

Stringe il tempo, dunque, per mettere in regola il trasferimento di dati personali con destinazione UK: operatori economici privati, ma anche organismi pubblici, dovranno valutare e scegliere i meccanismi di garanzia più opportuni, predisponendoli entro la fine di marzo per affrontare in maniera adeguata la Brexit.

Articolo pubblicato su Il Caffé Digitale

Riproduzione riservata ©

ALTRE NEWS

Conservazione sostitutiva, fate la cosa giusta…

Protagonista di una delle più epocali rivoluzioni dell’ultimo decennio – quella digitale – la Conservazione sostitutiva rappresenta una preziosa opportunità per le aziende, per i… Leggi Tutto

Dispositivi mobili in azienda: cosa fare per non trasformare un’opportunità in un rischio

Cresciuti esponenzialmente negli ultimi anni i dispositivi mobili possono essere considerati uno dei contributi di maggior rilievo nell’ambito del processo di business transformation, a vantaggio… Leggi Tutto

Le lunghe attese del nuovo Regolamento Privacy europeo

Nonostante l´opposizione di diverse lobby, la Commissione Europea sta lavorando in maniera decisiva alla riforma delle disposizioni attualmente in vigore (Direttiva 95/46/CE), per introdurre il… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.