Completata la Brexit, a partire dal 1° gennaio 2021 il Regno Unito non è più membro dell’Unione Europea e va considerato, dunque, un Paese terzo, anche in tema di privacy e protezione dei dati personali.
Privacy e trasferimento di dati verso il Regno Unito
L’Accordo commerciale e di cooperazione, stipulato il 30 dicembre 2020 con l’Unione Europea, prevede che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati (GDPR) per un ulteriore periodo di massimo 6 mesi. Sino al 30 giugno 2021, perciò, qualsiasi comunicazione di dati personali verso il Regno Unito seguirà le stesse regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un Paese terzo.
Commissione Europea e Governo UK si sono impegnati ad elaborare, nel corso di questo periodo transitorio, reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni. Se ciò non avvenisse, al termine di questi sei mesi si applicherebbero ai trasferimenti di dati verso il Regno Unito le disposizioni del GDPR che disciplinano il trasferimento di dati personali verso Pesi terzi, richiedendo l’esistenza di garanzie adeguate (quali clausole contrattuali tipo, norme vincolanti d’impresa, certificazioni e codici di condotta, accordi amministrativi).
Brexit, eventuali contenziosi privacy o reclami transfrontalieri
A partire dal 1° gennaio 2020, non è più applicabile, invece, il meccanismo dello “sportello unico” (one stop shop), per la gestione di contenzioni e reclami transfrontalieri con titolari o responsabili del trattamento stabiliti nel Regno Unito.
Tale meccanismo prevede la possibilità per titolari e responsabili di rapportarsi con un’unica Autorità capofila per i vari obblighi previsti dal GDPR e quindi con l’Autorità competente per lo stabilimento principale o unico nello Spazio Economico Europeo. Al fine di continuare a sfruttare questo strumento molto vantaggioso, essi dovrebbero individuare un nuovo stabilimento principale in uno Stato membro dello Spazio Economico Europeo (SEE).
Brexit e nomina di un responsabile nel SEE
In ogni caso, dal 1° gennaio 2021, titolari e responsabili del trattamento con sede nel Regno Unito e soggetti all’applicazione del GDPR sono tenuti a designare un rappresentante nello Spazio Economico Europeo a norma dell’articolo 27 sempre del GDPR, come accade per titolari e responsabili di Paesi terzi. Tale rappresentante costituirà il punto di contatto con le Autorità di controllo e con gli interessati per ogni questione relativa alle attività di trattamento.
Documenti:
Accordo commerciale e di cooperazione tra Unione Europea e Regno Unito
European Data Protection Board: Nota informativa sul trasferimento di dati personali ai sensi del GDPR verso il Regno Unito dopo il periodo di transizione
Autorità Garante per la Protezione dei dati personali: Brexit, il punto sulle conseguenze per la protezione dei dati