Le nebbie dell’incertezza istituzionale che hanno fatto seguito al clamoroso referendum per l’uscita del Regno Unito dall’Unione Europa – la celeberrima “Brexit” – iniziano finalmente a diradarsi. Come era lecito attendersi, il ricorso al meccanismo di “abbandono” disciplinato dall’art. 50 del Trattato sull’Unione Europea avrà ripercussioni su tutta una serie di materie regolamentate a livello internazionale tra gli Stati Membri. A meno di accordi preventivi e specifici, la piena trasformazione del Paese d’Oltremanica da Stato Membro a Stato Terzo (rispetto all’Unione) è prevista per il 30 marzo 2019.

Come però ben noto ad addetti ai lavori e non solo, c’è un’altra importante scadenza che incombe: quella del 25 maggio 2018, data a partire dalla quale avrà diretta applicabilità il Regolamento EU 2016/679 sul trattamento dei dati personali (GDPR). Come andranno a coesistere i due eventi? La risposta viene data direttamente dalla Commissione Europea in una propria nota del 9 gennaio scorso, e risulta semplice quanto drastica: il Regno Unito verrà considerato alla stregua di qualsiasi Paese Terzo anche in materia di dati personali, con conseguente applicazione delle regole previste dal GDPR per il trasferimento di dati verso tale tipologia di Paesi.

Gli strumenti messi a disposizione dal nuovo Regolamento – alcuni dei quali già previsti e disciplinati nella precedente Direttiva 95/46 – al fine di regolamentare tale passaggio al di fuori dell’Area UE non mancano di certo; tra questi:

• La sussistenza di una c.d. “Decisione di adeguatezza”, che si ha laddove la Commissione stessa abbia statuito che un Paese extra-UE garantisca un adeguato e sufficiente livello nell’ambito della protezione dei dati personali, sulla base di determinati parametri: presenza di un’Autorità di controllo, impegni internazionali assunti in tema di dati personali, stato di diritto, normativa di settore, ecc.;
• Il ricorso a c.d. “Clausole standard”, ovvero modelli di condizioni contrattuali, forniti anche in questo direttamente dalla Commissione, che vanno a normare con un sufficiente livello di garanzia i trasferimenti di dati fuori dai territori dell’Unione;
• Il ricorso alle c.d. “Binding Corporate Rules”; premessa necessaria per tale misura risulta la sussistenza di un gruppo di imprese, che si vincolano al rispetto di regole comuni relative al trattamento dei dati personali, previamente approvate dalla competente Autorità garante.

A queste, comuni alla pregressa normativa, si sono aggiunte alcune fattispecie del tutto proprie del GDPR:

• Il ricorso a codici di condotta e meccanismi di certificazione, corredati dall’impegno vincolante ed esecutivo del Titolare o del Responsabile del trattamento nel Paese Terzo ad applicare garanzie adeguate;
• Nel caso di insussistenza di tutte le previsioni precedenti, si può ricorrere alle c.d. “deroghe”: in particolare, laddove il trasferimento dei dati personali sia a) assistito da un consenso espresso dell’interessato; b) sia necessario per l’esecuzione di obblighi derivanti da un contratto o precontratto; c) sia necessario per motivi di ordine pubblico; d) sia necessario per motivazioni di tutela di diritti in sede giudiziaria; e) sia necessario per la tutela di interessi vitali dell’interessato; f) sia effettuato a partire da un registro che miri a fornire informazioni al pubblico , a norma del diritto dell’Unione o degli Stati Membri.

Sebbene gli strumenti a disposizione dei soggetti coinvolti per far fronte alla Brexit nel trattamento dei dati non manchino, l’addio del Regno Unito rappresenta comunque un impatto di non poco conto sotto differenti punti di vista, e soprattutto in prospettiva economica. Dotarsi delle soluzioni offerte dal dettato normativo significa anche investire nell’adeguamento; o, nei più drastici dei casi, scegliere soluzioni alternative al trasferimento di dati in direzione UK.

Gli sforzi della Commissione dovrebbero pertanto mirare a rendere meno traumatica possibile la Brexit, almeno in tema di data protection. In questo senso, lo strumento più idoneo pare essere proprio quello della decisione di adeguatezza: quanto previsto dall’art. 45 del GDPR consentirebbe di traslare dai soggetti interessati (in particolare, aziende ed operatori economici) a livello istituzionale le problematiche connesse al nuovo assetto che si andrà a determinare post marzo 2019.