A fine anno, salvo proroghe, scadrà il periodo di transizione, in cui il Regno Unito può ancora negoziare alcuni accordi prima di uscire definitivamente dall'Unione Europea.
Tra i temi dal futuro ancora incerto rientra la disciplina per il trattamento dei dati personali: l'intera materia, come per tutti gli stati membri, al momento è disciplinata dal GDPR.
Trattandosi di regolamento, non era richiesta la produzione di alcun atto normativo nazionale per introdurne i contenuti nei singoli ordinamenti, e cessando la sua attuazione per il Regno Unito, bisogna valutare sia il trattamento di dati provenienti da UK, sia il trasferimento di dati personali dal territorio dell'Unione a quello britannico.
L'autorità garante inglese per la protezione dei dati personali, l'Information Commissioner's Office (ICO), ha pubblicato una guida per disciplinare queste fattispecie.
La guida è applicabile alle organizzazioni con sede nel Regno Unito, le cui operazioni di trattamento di dati personali sono già regolate dal GDPR.
L'ICO al momento ha garantito che al termine del periodo di transizione, il GDPR rimarrà applicabile per il trasferimento dei dati verso i paesi che fanno parte dello Spazio Economico Europeo.
La situazione scoperta, quindi, rimarrebbe quella del trasferimento dei dati dal territorio dell'Unione al Regno Unito. In assenza di previsioni ad hoc la Gran Bretagna sarà trattata come un paese terzo, e qualsiasi trasferimento di dati personali verso il suo territorio dovrà essere fondato su decisioni di adeguatezza, garanzie o eccezioni. In alternativa si potrà fare affidamento sulle Standard Contractual Clauses (SCC), dal destino però ancora incerto.
Gli stessi strumenti sarebbero a disposizione del Regno Unito, qualora il GDPR rimanesse realmente in vigore, per il trasferimento di dati personali verso stati al di fuori del territorio dell'Unione.
Le organizzazioni con sede in UK, per non rimanere "scoperte" dall'uscita dall'UE e dalla conseguente non applicazione automatica del GDPR, consistono in una revisione delle informative e nella conseguente correzione di tutti gli espliciti riferimenti al diritto dell'Unione, identificando eventualmente un rappresentante, se necessario averne uno, interno all'Unione. Il "rappresentante europeo" è necessario qualora la società, avente sede in UK e priva di filiali o succursali in paesi dell'UE, voglia offrire servizi o monitorare il comportamento di individui sul territorio dell'Unione. Dalla nomina sono esenti le autorità pubbliche e le organizzazioni che trattano solo occasionalmente dati acquisiti nell'Unione, a patto che tali trattamenti costituiscano un basso rischio e non comportino l'utilizzo di categorie speciali di dati.
Photo by Morning Brew on Unsplash