Le linee guida ICO in materia di trasferimento dei dati post-Brexit

23 Dicembre 2020 - da admin

di Sara Gobbato PhD in diritto dell’UE, Avvocato del Foro di Milano, Of Counsel Team digital CRCLEX e Data Valley

Tratto da “Il Quotidiano Giuridico”, il quotidiano di informazione giuridica del gruppo Wolters Kluwer Italia e curato da Cedam, Utet Giuridica, Leggi d’Italia e Ipsoa.

Dal 1° gennaio 2021 il Regno Unito uscirà definitivamente dall’Unione europea, assumendo la qualifica di “Paese Terzo” rispetto agli Stati membri dello Spazio Economico Europeo. Per chiarire le norme applicabili al trasferimento dei dati personali nello scenario post-Brexit, l’Information Commissioner’s Office (ICO) ha pubblicato apposite linee guida, che indicano i puntuali adeguamenti a carico delle imprese e delle altre organizzazioni impegnate a gestire flussi di dati attraverso la Manica nel rispetto dell’EU GDPR e del nuovo UK GDPR.

Ahimè, ci siamo. A conclusione del periodo transitorio iniziato lo scorso 31 gennaio, lo scoccare delle ore 00.00 del 1° gennaio 2021 (saranno ancora le ore 23.00 del 31 dicembre a Londra) segnerà definitivamente l’uscita del Regno Unito dall’Unione europea. In vista dell’approssimarsi della scadenza, l’Information Commissioner’s Office (ICO) – autorità britannica per la tutela dei dati – ha intensificato i propri sforzi per fare chiarezza sulle regole applicabili nel Regno Unito in materia di data protection nello scenario post-Brexit. E se “nessun uomo è un’isola” (per citare John Donne), neppure un’isola è più un’isola nell’economia digitale fondata sull’utilizzo dei dati. La Brexit richiede, infatti, anche alle imprese ed alle altre organizzazioni stabilite al di fuori dei confini britannici di svolgere puntuali verifiche ed adempimenti al fine di non interrompere il flusso di dati sotteso agli scambi attraverso la Manica.

Quanto al quadro normativo applicabile nello scenario post-Brexit, l’ICO chiarisce innanzitutto che – dal 1° gennaio 2021 – il Regolamento (UE) 2016/679 (c.d. EU GDPR) non sarà più applicabile nel Regno Unito. L’EU GDPR verrà infatti sostituito dal c.d. UK GDPR, ossia da un regolamento di “portata nazionale” contenente previsioni sostanzialmente identiche (quanto ai principi, ai diritti ed agli obblighi ivi contemplati), rispetto a quelle contenute nell’EU GDPR applicabile nei Paesi dello Spazio Economico Europeo (SEE). Oltre che dal UK GDPR, il trattamento dei dati sarà disciplinato in UK dal 2018 DPA (Data Protection Act) e dal PECR (Privacy and Electronic Communications Regulations) debitamente aggiornati per tener conto dell’uscita del Regno Unito dall’Unione europea.

Nel rispetto del citato quadro normativo, la Brexit richiederà puntuali adeguamenti da parte delle imprese e delle altre organizzazioni attive sia al di qua che al di là della Manica atteso che – dal 1° gennaio 2021 – il Regno Unito assumerà la qualifica di “Paese Terzo” nei confronti dei Paesi SEE e non potrà più avvalersi formalmente delle garanzie fondate sull’EU GDPR quanto agli scambi con i Paesi extra-SEE.

Per descrivere la portata degli adeguamenti rilevanti, l’ICO individua tre tipologie di trasferimenti di dati personali:

(i) i trasferimenti dal Regno Unito a Paesi SEE;

(ii) i trasferimenti da Paesi SEE al Regno Unito;

(iii) i trasferimenti da Paesi extra-SEE al Regno Unito e vice versa.

 

Puoi continuare la lettura cliccando qui.

 

 

, , , , , , , , , ,

Lascia un commento