La data del divorzio tra Regno Unito ed Unione Europea (29 marzo) si avvicina e la possibilità di un’uscita senza accordo (cd. “no deal”) appare, se non probabile, quantomeno possibile. L’eventuale mancato accordo comporterà significative conseguenze anche in materia di dati personali e, l’attuale stato di incertezza, impone sin d’ora l’adozione di misure volte a salvaguardare la legittimità dei trasferimenti dati in UK.
In particolare, l’uscita del Regno Unito dall’Unione Europea comporterà che i flussi di dati personali – non avvenendo più all’interno del territorio UE – dovranno essere regolati sulla base delle regole previste dal GDPR in tema di trasferimento.
Qualora si raggiungesse l’accordo, è previsto un periodo di transizione (fino al 31 dicembre 2020) in cui l’attuale quadro resterà essenzialmente immutato, con la conseguenza che il trasferimento di dati personali nel Regno Unito sarà sostanzialmente equiparato ad un trasferimento all’interno dell’Unione Europea.
Nell’arco di tale periodo di transizione il Regno Unito mira ad ottenere una decisione di adeguatezza da parte della Commissione Europea, ottenendo così una base giuridica idonea a legittimare il trasferimento dei dati fuori dall’UE.
È peraltro altamente probabile che la Commissione ritenga che il livello di protezione offerto in UK sia adeguato e che pertanto sia possibile trasferirvi dati personali. Il Regno Unito ha infatti recepito integralmente la normativa europea di cui al Reg. UE 2016/679 (GDPR) e la sua regolamentazione in materia è allineata a quella degli altri Paesi europei.
Uno scenario diverso si prospetta invece nell’ipotesi di “no deal”.
In tale caso, infatti, nessun periodo di transizione sarà concesso con la conseguenza che a decorrere dal 29 marzo, l’invio di dati nel Regno Unito sarà a tutti gli effetti da reputarsi un trasferimento in un paese extra UE che non è ancora stato reputato adeguato.
Ed infatti, nonostante l’alta probabilità dell’ottenimento di una decisione di adeguatezza a favore del Regno Unito, sembrerebbe che la Commissione Europea non sia disposta ad adottare tale decisione sino a quando il Paese non possa a tutti gli effetti considerarsi estraneo all’UE e, quindi, dopo il 29 marzo.
Sarebbe quindi possibile che, in mancanza di accordo, si presenti un periodo in cui il Regno Unito sia fuori dall’Unione Europea e non (ancora) reputato adeguato al trasferimento di dati personali.
In tale ipotesi, i soggetti che intendono trasferire dati personali in UK dovranno premurarsi di ricorrere alle ulteriori basi giuridiche offerte dal GDPR per legittimare tale trasferimento, al fine di non incorrere in severe sanzioni.
Stante l’attuale stato di forti incertezze è peraltro consigliabile, per le aziende che condividono dati personali con il Regno Unito, premurarsi sin d’ora di individuare le azioni da intraprendere per garantire il continuo flusso di dati con i partner presenti in UK.
(a cura dell’Avv. Marta Tonioni – marta.tonioni@studiozunarelli.com)