Il Comitato Europeo per la Protezione dei Dati (cd. EDPB) ha adottato una nota sui trasferimenti dei dati personali dallo Spazio economico europeo (cd. SEE) al Regno Unito nel caso in cui l’Unione europea e il Regno Unito non dovessero trovare un accordo sulla Brexit (“no-deal Brexit”). Di seguito, il link alla nota: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf.

In particolare, la nota evidenzia come in assenza di un accordo tra UE e UK, dal 30 marzo 2019 il Regno Unito diventerà un Paese terzo, il trasferimento di dati personali dal SEE in UK dovrà seguire le regole di cui al Capo V del GDPR.

Tuttavia, poiché al momento non sussiste una decisione di adeguatezza della Commissione europea per l’UK, il trasferimento potrà basarsi soltanto su tali strumenti:

• clausole contrattuali tipo;
• clausole contrattuali ad hoc;
• norme vincolanti d'impresa;
• codici di condotta;
• meccanismi di certificazione.

Quanto alle condizioni di cui all’art. 49 del GDPR (tra cui, il consenso espresso dell’interessato ovvero il trasferimento necessario a eseguire un contratto tra titolare e interessato ovvero ad adottare misure precontrattuali richieste dallo stesso interessato), la nota sottolinea come esse siano delle deroghe e, pertanto, siano applicabili solo in casi eccezionali, vale a dire in mancanza di una decisione di adeguatezza ovvero in mancanza delle altre garanzie (sul punto, v. EDPB, Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf).

Al fine di prepararsi a un “no-deal Brexit” e adeguare al GDPR i trasferimenti di dati personali dal SEE verso il Regno Unito, la nota suggerisce alle imprese le seguenti azioni:

1. identificare quali attività di trattamento implicheranno un trasferimento di dati personali verso il Regno Unito;
2. individuare uno strumento appropriato per il trasferimento dei dati personali verso il Regno Unito;
3. implementare entro il 30 marzo 2019 lo strumento scelto per il trasferimento dati;
4. indicare nella documentazione interna (es: registro dei trattamenti) i trasferimenti di dati personali verso il Regno Unito;
5. aggiornare le informative sulla protezione dei dati.

Infine, con riferimento ai trasferimenti di dati personali dal Regno Unito al SEE, la nota richiama l’orientamento del governo britannico, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE anche in caso di Brexit senza accordo con l’UE. Al riguardo, la nota invita a monitorare i siti istituzionali del Governo UK e del Garante privacy UK.