PRIVACY IN CASO DI NO-DEAL BREXIT: COME PREPARARSI?

Privacy in caso di no deal brexit come prepararsi
Quale sarà l'impatto di un eventuale NO DEAL sulle imprese italiane sotto il profilo privacy? Vediamo i possibili scenari.

In caso di uscita del Regno Unito dall’UE senza un accordo tra le parti (c.d. NO-DEAL BREXIT), quale sarà l’impatto sulle aziende italiane per quanto concerne il rispetto della normativa privacy (c.d. GDPR)? Dovranno adottare nuovi adempimenti, modificare quelli esistenti o sarà sufficiente qualche piccolo accorgimento ?

La domanda è di strettissima attualità, dal momento che il Regno Unito dovrebbe completare il processo di recesso dall’UE entro il 31 ottobre 2019 sulla base di una serie di accordi (fra cui l’Accordo di recesso e la Dichiarazione sul quadro delle future relazione tra UE e Regno Unito).

La data, dunque, si avvicina e lo spettro di un “No-deal” appare quantomeno possibile.
Risuonano infatti le parole del nuovo Premier britannico, Boris Johnson, il quale ha annunciato che il 31 Ottobre il Regno Unito lascerà l’UE con o senza un accordo.
Il Parlamento ha tuttavia approvato un progetto di legge che obbliga il Governo britannico a richiedere un’ulteriore proroga fino al 31 Gennaio 2020, al fine di negoziare il recesso qualora non venga approvato alcun accordo entro il 19 ottobre 2019.

Difficile a questo punto immaginare un’uscita senza accordo, anche se i ripetuti colpi di scena a cui abbiamo assistito negli ultimi mesi non offrono certezze al riguardo.
Proviamo comunque ad ipotizzare gli scenari possibili in caso di No-Deal, rispondendo così al quesito iniziale.

SCENARIO A

IMPRESA ITALIANA CHE NON RICEVE O INVIA DATI PERSONALI DA O VERSO IL REGNO UNITO.
Resta tutto invariato. Valgono le regole e le procedure che l’impresa Titolare ha già deciso di adottare per essere conforme al GDPR. Attenzione però ai due scenari successivi.

SCENARIO B.

IMPRESA ITALIANA CON UNA O PIÙ SEDI UE, CHE OFFRE BENI O SERVIZI A CLIENTI O CONSUMATORI CHE SI TROVANO NEL REGNO UNITO.
In caso di No-Deal, questo tipo di attività configurerebbe un trasferimento di dati verso un Paese terzo, con tutte le conseguenze del caso. Il primo passo sarebbbe quello di verificare se la Commissione europea abbia adottato una “decisione di adeguatezza” nei confronti del Regno Unito, con cui si attesti che il livello di protezione dei dati offerto in quel Paese sia appunto adeguato agli standard del GDPR. Fa sorridere anche solo pensare di dover emettere un giudizio simile nei confronti di uno dei Paesi più evoluti in materia di data protection, ma questa è la norma vigente e se le parti in causa (UE e UK) non trovassero un accordo sul punto, si dovrà attendere la pronuncia della Commissione europea. Altrimenti, il trasferimento di dati dall’Italia al Regno Unito (o viceversa) potrà avvenire solo in presenza di garanzie adeguate, fra quelle elencate dall’art. 46 GDPR (es.: clausole-tipo di protezione dei dati, norme vincolanti d’impresa, codici di condotta o meccanismi di certificazione). A certe condizioni sarà infine possibile utilizzare le deroghe previste dall’art. 49 GDPR.

SCENARIO C

IMPRESA ITALIANA CHE MONITORA IL COMPORTAMENTO DI CLIENTI O CONSUMATORI CHE SI TROVANO ALL’INTERNO DEL REGNO UNITO.
Un esempio può essere quello di una start-up italiana, proprietaria di un’applicazione gratuita per incontri, con la quale monitora le preferenze e gli orientamenti sessuali dei cittadini inglesi iscritti alla piattaforma.
Si tratta di un vero e proprio trasferimento di dati extra UE (ipotizzando sempre il no-deal), che necessita di una attenta verifica nei termini di cui allo scenario B.

La speranza, dunque, è quella di evitare una Brexit che non preveda alcun accordo in termini di protezione dei dati personali, in quanto provocherebbe solo disagi da un punto di vista legale e formale, mentre nulla muterebbe sotto un profilo sostanziale, posto che il Regno Unito assicura e assicurerà un livello di protezione dei dati adeguato, grazie ad un quadro legislativo nazionale che da decenni è modellato sugli standard attuali europei.

L’unico effetto sarebbe, dunque, quello di creare ostacoli burocatrici al flusso di dati da e verso un Paese – il Regno Unito – che per molte imprese italiane rappresenta un partner commerciale e strategico fondamentale; un paradosso, se pensiamo agli obiettivi dichiarati dall’UE a margine dell’emanazione del Regolamento Europeo.