Diritti interna

Doveri interna

Breadcrumb

Breadcrumbs

advanced search

 

 

 


Ultimo aggiornamento: 27 febbraio 2019

 


Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue*.

 

Flussi di dati dal SEE (Spazio Economico Europeo) verso il Regno Unito

 

In assenza di un accordo tra l'UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019. Di conseguenza, il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti: clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.

 

Flussi di dati dal Regno Unito al SEE

 

Per quanto riguarda i trasferimenti di dati dal Regno Unito al SEE, secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà  anche in caso di Brexit senza accordo con l’UE.
 

 

*fonteComitato europeo per la protezione dei dati - Comunicato stampa del 13 febbraio 2019

 

 

 

 

 

SCHEDA INFORMATIVA SUI TRASFERIMENTI DI DATI AI SENSI DEL RGPD
IN CASO DI BREXIT SENZA ACCORDO

12 febbraio 2019
(english version)

 

 

INTRODUZIONE

 

In assenza di un accordo fra i Paesi dello Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) e il Regno Unito, il Regno Unito diverrà un paese terzo alla mezzanotte (CET) del 30 marzo 2019. Conseguentemente, il trasferimento di dati personali verso il Regno Unito dovrà basarsi su uno degli strumenti giuridici qui indicati(1) a partire da tale data:

 

- Clausole-tipo di protezione dati, ovvero clausole ad-hoc di protezione dati;

 

- Norme vincolanti d’impresa;

 

- Codici di condotta e meccanismi di certificazione;

 

- Deroghe(2)

 

La presente scheda informativa intende fornire alcuni chiarimenti per i soggetti pubblici e privati in merito ai suddetti strumenti utilizzabili per i trasferimenti di dati personali verso il Regno Unito, in caso di Brexit senza accordo.

 

Il Comitato europeo per la protezione dei dati (di seguito, il Comitato) ha tenuto conto delle indicazioni elaborate al riguardo dalle autorità di controllo e dalla Commissione europea. Le autorità di controllo nazionali sono a disposizione per ogni necessario approfondimento.

 

 

 

 

II.Trasferimenti di dati dal SEE al Regno Unito

 

 

1. Strumenti disponibili ai fini del trasferimento

 

In assenza di una decisione di adeguatezza(3) al momento della Brexit, si può fare riferimento ai seguenti strumenti giuridici per legittimare il trasferimento di dati.

 

a. Clausole-tipo di protezione dati e Clausole ad-hoc di protezione dati

 

L’azienda o il soggetto pubblico può accordarsi con la controparte nel Regno Unito per utilizzare le Clausole-tipo di protezione dati approvate dalla Commissione europea. Con tali clausole si possono prestare le garanzie adeguate in termini di protezione dati che sono richieste qualora si trasferiscano dati personali verso un paese terzo.

 

A oggi, esistono due famiglie di clausole-tipo:

 

- Per i trasferimenti da titolari nel SEE a titolari in paesi terzi (es. UK): ne esistono due formulazioni

 

2001/497/CE 

 

- 2004/915/CE

 

- Per i trasferimenti da titolari nel SEE a responsabili in paesi terzi (es. UK)

 

- 2010/87/CE

 

È importante sottolineare che le clausole-tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole-tipo approvate dalla Commissione europea. Considerando la tempistica in vista del 30 marzo prossimo, il Comitato europeo della protezione dei dati riconosce che le clausole-tipo di protezione dei dati costituiscono uno strumento di immediata applicabilità.

 

Ogni ulteriore modifica o emendamento delle clausole-tipo ne comporta la trasformazione in clausole contrattuali ad-hoc. Anche queste ultime possono offrire garanzie adeguate alla luce della specifica situazione in cui si versa.

 

Prima di procedere al trasferimento, queste clausole contrattuali speciali necessitano dell’autorizzazione della competente autorità di controllo nazionale, preceduta in ogni caso dal parere del Comitato europeo della protezione dei dati.

 

b. Norme vincolanti d’impresa (BCR)

 

Le norme vincolanti d’impresa (BCR) descrivono le politiche di protezione dei dati cui aderiscono gli appartenenti a un gruppo di imprese (cioè, un’impresa multinazionale) al fine di offrire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo stesso – anche al di fuori del SEE.

 

Può darsi che la Vostra azienda  abbia già elaborato BCR oppure si serva di responsabili che aderiscono a BCR per responsabili del trattamento. È possibile continuare a utilizzare queste BCR, autorizzate ai sensi del precedente regime giuridico (direttiva 95/46/CE), poiché esse mantengono la propria validità anche ai sensi del RGPD(4). Tuttavia, tali BCR devono essere aggiornate per essere pienamente conformi alle disposizioni del RGPD.

 

Se già non disponete di BCR, queste dovranno essere approvate dalla competente autorità di controllo nazionale sulla base di un parere del Comitato europeo della protezione dei dati. 

 

Per maggiori informazioni sulla procedura di approvazione di BCR, si consulti il sito web del Comitato.

 

c. Codici di condotta e meccanismi di certificazione

 

Un codice di condotta o uno schema di certificazione possono offrire garanzie adeguate ai fini dei trasferimenti di dati personali purché contengano impegni vincolanti ed esecutivi da parte del titolare o del responsabile nel paese terzo a beneficio degli interessati.

 

Si tratta di strumenti giuridici innovativi introdotti dal RGPD, e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

 

 

2. Deroghe

 

È importante sottolineare che le deroghe previste dal RGPD consentono di trasferire dati verso Paesi terzi solo a determinate condizioni, e rappresentano in ogni caso eccezioni alla regola dell’esistenza di garanzie adeguate (si vedano gli strumenti sopra ricordati, quali BCR, clausole-tipo di protezione dei dati, ecc.) ovvero alla regola che ammette i trasferimenti in base a una decisione sull’adeguatezza del paese terzo. Pertanto, la loro interpretazione deve essere restrittiva e il loro utilizzo deve riguardare principalmente trattamenti occasionali e non ripetitivi.(5) 

 

Alla luce dell’Art. 49 del RGPD, le deroghe in questione comprendono, fra l’altro, quanto segue:

 

- Il consenso esplicito fornito dall’interessato al trasferimento previsto, previa informazione comprendente tutti gli elementi necessari in merito ai rischi associati a tale trasferimento;

 

- La necessità del trasferimento ai fini dell’esecuzione o della conclusione di un contratto stipulato fra l’interessato e il titolare, ovvero di un contratto stipulato nell’interesse della persona interessata;

 

- La necessità del trasferimento per importanti motivi di interesse pubblico;

 

- La necessità del trasferimento per il perseguimento degli interessi legittimi e cogenti del titolare o del responsabile.

 

Per ulteriori informazioni sulle deroghe previste e sulla loro applicazione, si rinvia alle Linee-guida del Comitato europeo della protezione dei dati sull’Articolo 49 del RGPD.

 

 

3. Strumenti destinati esclusivamente ai soggetti pubblici o alle autorità pubbliche

 

Le autorità pubbliche e i soggetti pubblici potranno individuare gli strumenti più idonei in rapporto allo specifico contesto, secondo quanto prevede il RGPD.

 

Una possibilità è il ricorso a uno strumento giuridicamente vincolante e avente efficacia esecutiva, quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale. L’accordo deve essere vincolante e avere efficacia esecutiva per le parti che lo sottoscrivono.

 

Un’altra possibilità è data dal ricorso a disposizioni amministrative quali protocolli d’intesa; benché  giuridicamente non vincolanti, essi devono prevedere in ogni caso diritti effettivi e azionabili da parte degli interessati. Tali disposizioni amministrative sono soggette all’autorizzazione della competente autorità di controllo nazionale, previo il parere del Comitato europeo della protezione dei dati.

 

Le autorità pubbliche e i soggetti pubblici possono, inoltre, fare affidamento sulle deroghe sopra richiamate, salvo il rispetto delle specifiche condizioni.

 

Per quanto riguarda le autorità incaricate dell’attuazione delle norme di natura penale(6), sono disponibili ulteriori strumenti ai fini del trasferimento di dati.(7)

 

 

III. Trasferimenti di dati dal Regno Unito verso i Paesi del SEE

 

Secondo quanto affermato dal governo del Regno Unito(8), in caso di Brexit senza accordo non si modificherà l’attuale situazione, che prevede la libera circolazione di dati personali dal Regno Unito verso i paesi del SEE.
 

 

In merito, si invita a visitare periodicamente il sito del governo del Regno Unito e il sito dell’autorità di controllo (Information Commissioner, ICO).

 

Per il Comitato europeo della protezione dei dati

La presidente
(Andrea Jelinek)

 

 

NOTE

(1) V. Capo V del RGPD.

(2) Le deroghe sono utilizzabili solo in assenza di clausole contrattuali tipo o di altre garanzie adeguate.

(3) Una decisione di adeguatezza  viene adottata dalla Commissione europea sulla base dell’Art. 45 RGPD; è il caso, per esempio, della recente decisione sull’adeguatezza del Giappone adottata dalla Commissione il 23 gennaio 2019. In precedenza, la Commissione aveva adottato decisioni di adeguatezza relative a paesi terzi quali Argentina, Nuova Zelanda e Israele. Attualmente, non esiste una decisione di adeguatezza concernente il Regno Unito.

(4) Ai sensi dell’Art. 46, paragrafo 5, del RGPD. Si osservi che le BCR autorizzate ai sensi della direttiva 95/46/CE restano valide anche ai sensi del RGPD ma necessitano di un aggiornamento che le renda pienamente conformi al RGPD.

(5) Si vedano il Considerando 113 e l’Articolo 49, paragrafo 1, del RGPD. 

(6) Alle quali si applica la direttiva sulle attività di contrasto.

(7) Si vedano gli Artt. 37 e 38 della suddetta direttiva. Per esempio, il trasferimento è consentito se l’autorità in Ue giunge alla conclusione che nel paese terzo sono offerte garanzie adeguate, sulla base di una (autonoma) valutazione di tutte le circostanze del trasferimento. Inoltre, possono applicarsi alcune deroghe specifiche (v. Art. 38 della direttiva). 

(8) https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal   

 

 

 

ALTRI DOCUMENTI

 

Information note on BCRs for companies which have ICO as BCR Lead Supervisory Authority - 12 febbraio 2019

 

Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679