Come ormai noto il Regno Unito, con decorrenza 1° gennaio 2021, ha definitivamente abbandonato l’Unione Europea.
Con tale decisione, l’UK ha quindi scelto di diventare ufficialmente un paese terzo rispetto al SEE e questo vale anche per quanto concerne il trattamento dei dati personali.
Alla Gran Bretagna, in altri termini, non si applicherà più la disciplina in materia di trattamento dati personali, nella specie il Regolamento n. 679/2016 [GDPR] che interessa invece gli Stati appartenenti allo Spazio Economico Europeo.
Ad ogni modo, l’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 tra Regno Unito e Unione Europea, prevede che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021).
Ciò significa che qualsiasi trasferimento di dati personali di cittadini europei verso il Regno Unito che dovesse essere compiuto entro il 30 giugno 2021, sarà coperto ancora dalle regole del GDPR e dunque NON sarà considerato un trasferimento di dati verso un paese terzo.
Nel corso del periodo che va dal 1° gennaio 2021 al 30 giugno 2021, la Commissione europea e il Governo del Regno Unito, sempre sulla base dell’Accordo commerciale e di cooperazione, si sono impegnati, a predisporre decisioni di adeguatezza biunivoche, le quali dovrebbero garantire, a titolari e responsabili del trattamento, la prosecuzione dello scambio di dati senza intoppi o impedimenti, anche dopo la scadenza del periodo transitorio di cui innanzi.
Il Garante per la protezione dei dati personali rammenta, comunque, che nel caso in cui l’Unione Europea e il Regno Unito non dovessero giungere ad accordi che prevedano specifiche decisioni di adeguatezza, ai trasferimenti di dati personali che riguardano cittadini europei verso il Regno Unito, si applicheranno tutte le disposizioni del Capo V del GDPR, le quali ammettono che i dati personali di cittadini europei vengano trasferiti verso paesi terzi non appartenenti al SEE, ritenuti non adeguati, solo se sussistono garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta), oppure, in difetto di garanzie adeguate, solo in presenza di alcune deroghe (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), tenendo presente che tali ultime deroghe si applicano solo in via residuale e seguendo un criterio fortemente restrittivo.
Relativamente ad eventuali contenziosi o reclami transfrontalieri con titolari o responsabili del trattamento stabiliti nel Regno Unito e aventi ad oggetto questioni relative ai dati personali, dal 1° gennaio 2021 non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che regola tali contenziosi fra i paesi del SEE.
Pertanto, le imprese che abbiano sede nel Regno Unito non potranno più riferirsi ad un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a fruire del meccanismo dello one stop shop (sportello unico), tali soggetti sono tenuti ad identificare un nuovo stabilimento principale in uno Stato membro del SEE.
Resta inteso che, dal 1° gennaio 2021, i titolari e i responsabili del trattamento che hanno sede nel Regno Unito e che siano vincolati al rispetto del GDPR ai sensi dell'articolo 3, paragrafo 2, in quanto le proprie attività di trattamento riguardano:
- l'offerta di beni o la prestazione di servizi ad interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure
- il monitoraggio del comportamento degli interessati (soggetti residenti nell’Unione Europea) nella misura in cui tale comportamento ha luogo all'interno dell'Unione,
devono designare per iscritto un “rappresentante” nel SEE a norma dell’articolo 27 del GDPR. In base a tale disposizione, infatti, laddove si applichi l'articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento è tenuto a nominare per iscritto un rappresentante nell'Unione, ad eccezione del caso in cui:
- il trattamento sia occasionale, salvo non includa un trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all'articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento; oppure
- il trattamento sia effettuato da autorità pubbliche o dagli organismi pubblici.
In tal caso, il rappresentante deve essere stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell'ambito dell'offerta di beni o servizi o il cui comportamento è monitorato.
Il rappresentante deve essere altresì incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.
La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.
Il rappresentante, quindi, può essere sentito dalle Autorità di controllo europee e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di assicurare il rispetto del GDPR.
Gli interessati che si trovano in Italia, i cui dati sono trattati nell’ambito di un’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito, possono in ogni caso, ricorrere all’Autorità del Garante privacy italiana per assistenza circa i diritti sui propri dati personali.