Importanti e sostanziali modifiche hanno investito l’atlante geografico della privacy nelle ultime settimane, ridefinendo i confini applicativi della normativa e gli strumenti a disposizione degli operatori economici per la gestione internazionale dei dati personali.

Nuove frontiere: il caso del Giappone

L’Estremo Oriente non sembra più così distante, almeno dal punto di vista della data protection: è notizia del 23 gennaio scorso l’adozione, da parte della Commissione Europea, della Decisione di Adeguatezza nei confronti del Giappone. Tale meccanismo è disciplinato dall’art. 45 del Regolamento UE n. 2016/679 (GDPR), e consente il libero trasferimento verso Paesi non appartenenti allo Spazio Economico Europeo a fronte di un “livello di protezione adeguato” garantito dal Paese in questione. La decisione viene presa dalla Commissione previa valutazione di alcuni elementi essenziali del sistema destinatario, quali lo stato di diritto e gli impegni internazionali del Paese in tema di trattamento dei dati.

I trasferimenti di dati in Giappone non necessiteranno, quindi, di ulteriori e specifici meccanismi autorizzativi. Ne sono esempi la sottoscrizione di clausole contrattuali standard – modelli tipo approvati da Commissione Europea o Autorità di controllo – o la previsione di Binding Corporate Rules – le regole interne alle aziende multinazionali, approvate dalle Autorità nazionali in materia, volte a disciplinare i flussi transfrontalieri di dati. Sarà dunque sufficiente, a livello contrattuale, richiamare la decisione come garanzia del trasferimento.

Nuovi confini: le conseguenze della Brexit

Il lungo e travagliato addio del Regno Unito all’Unione Europea si ripercuote anche sull’applicabilità del GDPR e sulla gestione dei trattamenti in territorio britannico.

L’European Data Protection Board (EDPB) si è espressa sul punto, e ha provato a fare luce nelle nebbie che accompagnano il cambiamento epocale a livello di UE. In una nota esplicativa del 12 febbraio scorso, il Comitato Europeo ha delineato le conseguenze di una eventuale Hard Brexit, vale a dire l’ipotesi di un’uscita dal novero dei 28 Stati membri con abbandono di qualsiasi trattato ed istituzione, e senza il raggiungimento di un accordo tra UE e UK che disciplini tale passaggio.

In tale scenario, a decorrere dalla mezzanotte del 30 marzo 2019, il Regno Unito diverrebbe un Paese Terzo anche ai sensi del GDPR, trovando piena applicazione quanto previsto al Capo V dello stesso Regolamento. Il trasferimento di dati oltremanica si andrà a configurare come trasferimento al di fuori dello Spazio Economico Europeo, e dovrà essere assistito da una delle garanzie disciplinate agli artt. 46 e seguenti:

• Presenza di una eventuale Decisione di Adeguatezza approvata dalla Commissione; la soluzione potrebbe essere quella più opportuna, alla luce dei pluriennali rapporti diretti avuti con il sistema di data protection britannico, coinvolto anch’esso nel processo di genesi del GDPR.
• Implementazione delle Clausole Contrattuali Standard come approvate dalla Commissione Europea, non modificabili e definite strumento “pronto all’uso”.
• Presenza di Binding Corporate Rules.
• Sussistenza di codici di condotta o meccanismi di certificazione; tali strumenti di garanzia sono una delle novità introdotte dal GDPR, e sono indicate come oggetto di futuro intervento da parte dello stesso Comitato.
• Applicazione di una delle deroghe previste all’art. 49 GDPR a cui si deve far ricorso solamente in caso di mancata sussistenza delle precedenti misure e a fronte di trattamenti occasionali.

L’EDPB individua anche gli step che gli operatori economici coinvolti in flussi di dati verso il Regno Unito devono considerare con l’approssimarsi della Brexit. I passaggi di maggior rilievo risultano essere quelli dell’allineamento documentale: una volta individuato e definito lo strumento idoneo a garantire il trasferimento, i soggetti operanti all’interno dello Spazio Economico Europeo dovranno dare contezza di ciò nei rapporti con gli interlocutori UK (inserendo specifico riferimento a livello di contratti) e nei rapporti con gli interessati (attraverso puntuale indicazione all’interno dell’informativa).

Il Comitato Europeo chiude la propria nota affrontando anche il tema anche dalla prospettiva inversa, e sancisce che anche in caso di Hard Brexit sarà mantenuto un regime di libero trasferimento di dati personali dal Regno Unito verso l’Unione Europea.

Stringe il tempo, dunque, per mettere in regola il trasferimento di dati personali con destinazione UK: operatori economici privati, ma anche organismi pubblici, dovranno valutare e scegliere i meccanismi di garanzia più opportuni, predisponendoli entro la fine di marzo per affrontare in maniera adeguata la Brexit.