Il 31 gennaio del 2020 alle ore 23 (a meno di sorprese dell’ultimo minuto), il Regno Unito lascerà l’Unione Europea. Per chi gestisce un’organizzazione che abbia anche solo un minimo livello di internazionalizzazione sa bene quanto sia complesso affrontare la questione, dal momento che l’incertezza generata dal processo di uscita sta creando numerosi problemi e lasciando aperti diversi interrogativi.

Le aziende che avevano registrato un marchio o un modello di design europeo, potrebbero rischiare di trovarsi senza adeguate coperture nel mercato britannico. Chi svolge attività di import-export si troverà ad affrontare grattacapi ben peggiori. Per non parlare di chi si sta occupando di temi legati alla privacy e alla protezione dei dati personali.

Per molti consulenti e DPO, che negli ultimi mesi si sono adoperati per rendere conformi al GDPR aziende, associazioni e freelance, la Brexit avrà un impatto significativo nei piani di adeguamento al Regolamento Europeo.

Molti infatti di loro si stanno infatti chiedendo: sarà ancora possibile trasferire liberamente i dati nel Regno Unito? Cosa deve fare la filiale dalla mia azienda con sede a Londra? Come mi dovrò comportare dopo la Brexit per offrire prodotti e servizi ai cittadini britannici nel rispetto della normativa? Ma soprattutto: come cambierebbe lo scenario in caso di “No Deal” (mancato accordo) tra Regno Unito ed Unione Europea?

Questo articolo ha l’obiettivo di dirimere alcuni di questi dubbi sulla base di quello che conosciamo a inizio 2019. In caso di variazioni e aggiornamenti, questo articolo verrà costantemente revisionato e modificato. A questo proposito, troverete in fondo alla pagina la data dell’ultimo aggiornamento.

  1. Il GDPR continuerà ad essere applicato nel Regno Unito in caso di No Deal?

Il GDPR, essendo un Regolamento Europeo, smetterà di applicarsi in caso di No Deal. Le disposizioni in materia di privacy e protezione dei dati personali verranno infatti regolate dalla normativa britannica, in particolare dal DPA 2018 (Data Protection Act). Secondo la terza sezione dello “European Union (Withdrawal) Act” (la legge britannica che modifica la normativa nazionale, in modo da annullare l’applicazione diretta nel Regno Unito di direttive, decisioni e regolamenti europei) però, tutte le disposizioni del GDPR verranno direttamente incorporate nella legislazione britannica al momento dell’uscita del Paese dall’UE. Il DPA 2018 continuerà quindi a produrre per i cittadini britannici e le imprese effetti sostanzialmente analoghi a quelli del GDPR.

  1. Sarà ancora possibile trasferire liberamente i dati personali dal Regno Unito verso lo Spazio Economico Europeo e viceversa?

Il governo britannico ha specificato che i trasferimenti di dati personali dal Regno Unito verso lo Spazio Economico Europeo (Unione Europea + Norvegia, Islanda e Lichtenstein) continueranno a essere liberi. Tuttavia, in caso di No Deal, visto che il Regno Unito sarà considerato un Paese terzo rispetto allo Spazio Economico Europeo, occorrerà individuare le adeguate salvaguardie che rendono possibili i trasferimenti di dati (es. clausole contrattuali standard) dallo Spazio Economico Europeo verso il Regno Unito. Se verrà raggiunto un accordo, i trasferimenti di dati personali in ingresso e in uscita potranno continuare ad avvenire liberamente.

  1. E i trasferimenti di dati tra il Regno Unito e un Paese esterno allo Spazio Economico Europeo?

Per trasferire i dati personali dal Regno Unito verso un Paese extra-SEE, occorrerà tenere in considerazione le decisioni di adeguatezza adottate da parte del governo inglese. Il governo inglese ha spiegato che intende riconoscere le decisioni di adeguatezza adottate della Commissione Europea pre-Brexit. Per quanto riguarda i trasferimenti di dati personali verso gli Stati Uniti, le aziende potranno continuare a trasferire i dati personali alle aziende Usa che hanno aderito al protocollo Privacy Shield. In caso di No Deal però, Uk e Stati Uniti dovranno lavorare a un nuovo trattato.

  1. E le informative che la mia azienda ha preparato per i cittadini britannici?

Potrà continuare ad utilizzarle, visto che sostanzialmente i contenuti rimarranno gli stessi. Occorrerà semplicemente aggiornare i riferimenti (dal GDPR al DPA 2018).

  1. Come cambieranno i diritti dei cittadini britannici in materia di protezione dei dati personali post Brexit?

I diritti dei cittadini britannici rimarranno gli stessi, anche dopo la Brexit. Le aziende non britanniche che offriranno prodotti o servizi ai cittadini inglesi dovranno continuare a garantire loro l’esercizio dei diritti introdotti dal GDPR.

  1. Il DPO nominato per la filiale britannica potrà rimanere in carica?

Sì. Dopo la Brexit, le organizzazioni sottoposte all’obbligo di nomina del DPO continueranno a essere soggette a tale obbligo. I DPO già nominati resteranno in carica anche dopo il 31 gennaio.

  1. E le aziende che hanno adottato il registro dei trattamenti?

Il registro dei trattamenti rimarrà un onere in capo alle organizzazioni britanniche che trattano dati personali. Di conseguenza, chi era tenuto all’adozione dei registri dovrà continuare ad aggiornarli ed eventualmente presentarli in caso di richiesta da parte del Garante per la protezione dei dati britannico (ICO – Information Commissioner’s Office).

Di seguito alcuni link utili:

6 Step to take (I sei step che dovranno compiere le aziende per prepararsi alla Brexit secondo il Garante inglese relativamente a privacy e protezione dei dati personali): https://ico.org.uk/media/2553958/leaving-the-eu-six-steps-to-take.pdf

Data protection if there’s no Brexit deal (Cosa succederà in caso di No Deal – Guida del Garante inglese): https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/

UK government’s preparations for a ‘no deal’ scenario (I preparative del governo britannico in caso di No Deal): https://www.gov.uk/government/publications/uk-governments-preparations-for-a-no-deal-scenario/uk-governments-preparations-for-a-no-deal-scenario

Avete qualche domanda, dubbio o perplessità? Scrivete a gdpr@argobs.com

Data di aggiornamento: 09/01/2020