Il rischio di una no-deal Brexit è concreto e riguarda anche la circolazione dei dati da e verso il Regno Unito
Una parte della politica britannica sta lavorando assiduamente per evitarlo. Ma se non ci saranno particolari novità, il 31 ottobre prossimo avremo la cosiddetta
no-deal Brexit. Ossia l'uscita del Regno Unito dall'Unione Europea senza alcun tipo di accordo in merito - tra le varie questioni sul tavolo - alla
libera circolazione di merci e persone. E anche di dati, che sono la base indispensabile perché le aziende europee possano operare con le loro controparti oltremanica.
Per le aziende che gestiscono dati personali, dei clienti come dei dipendenti, l'elemento più critico è che una no-deal Brexit
fa decadere automaticamente l'inclusione del Regno Unito tra le nazioni "coperte" dal GDPR. In sostanza, da quella data il Regno Unito (formalmente Inghilterra, Galles, Scozia, Irlanda del Nord e Territori d'Oltremare) diventa un "
Paese terzo" da e verso cui la circolazione di dati non è più implicitamente
garantita dal GDPR.
Messa così sembra un dettaglio. E in effetti potrebbe anche esserlo, considerati tutti i problemi che si porterebbe dietro una no-deal Brexit. Ma le aziende europee che scambiano dati con aziende ed organismi britannici
devono comunque porsi la questione. Lo scambio di dati verso i Paesi terzi non è vietato, ovviamente, ma deve essere sottoposto a clausole ben precise.
Che il problema esista lo testimonia anche il fatto che l'Authority britannica ICO (
Information Commissioner's Office) ha predisposto una apposita
sezione informativa del suo sito. Ma dal punto di vista delle realtà europee lo scenario è semplice. Decaduto il GDPR, gli
strumenti legali a disposizione per continuare a scambiare tranquillamente dati personali sono relativamente pochi. Sintetizzando e semplificando, sono solo tre.
Tre strade dopo una no-deal Brexit
Il primo "strumento", più ovvio e quasi scontato, è che l'Unione Europea
riconosca ufficialmente come adeguate le norme che il Regno Unito applica per la tutela dei dati personali. La Commissione Europea emette una cosiddetta "
adequacy decision" in tal senso e il problema è risolto una volta per tutte. Come ha fatto ad esempio per gli Stati Uniti (anche se oggi con
qualche problema), Israele, la Svizzera e il Giappone.
Una adequacy decision favorevole al Regno Unito sarebbe
legalmente semplice, perché la legislazione britannica ha già recepito il GDPR. È quindi già abbastanza garantista sulla tutela dei dati. Il problema è che questa decisione ha una sua trafila burocratica. E tutte le negoziazioni tra UK e UE sono oggi, per usare un eufemismo, problematiche. In caso di no-deal Brexit è difficile che una adequacy decision per il Regno Unito
venga formalizzata prima di un anno. E dodici mesi senza una tutela chiara nello scambio di informazioni sono impossibili da sostenere per qualunque impresa che operi a livello internazionale.
Se non esiste una tutela formale che copra tutta una nazione, le aziende
devono muoversi in ordine sparso. Ciascuna cioè proteggendo i propri flussi di dati da e verso specifiche controparti.
Norme vincolanti e norme ad hoc
Le multinazionali o i conglomerati multinazionali di aziende possono avvalersi delle cosiddette norme vincolanti d’impresa (
Binding Corporate Rules, BCR). In estrema sintesi, ad esempio, una multinazionale può definire proprie regole per la condivisione e la protezione dei dati personali in maniera che siano appropriate e
in linea con i dettami del GDPR. A questo punto può scambiare dati al suo interno e riceverne da altre controparti, proprio sulla base di questa garanzia.
Ovviamente
non si tratta affatto di una autocertificazione. Le BCR così definite devono essere esaminate dallo European Data Protection Board. E approvate dalle Authority nazionali competenti per la privacy. Un elemento che complica la vita alle aziende britanniche, dato che in caso di no-deal Brexit l'Information Commissioner's Office
non viene più riconosciuto come autorità competente.
Come si intuisce, quella delle BCR è una strada perseguibile solo dalle grandi imprese. Definirle e farsele approvare rappresenta infatti un processo lungo e non banale. L'alternativa è utilizzare le cosiddette
Standard Data Protection Clauses. In italiano, per esteso:
clausole contrattuali tipo per il trasferimento di dati a carattere personale verso Paesi terzi. Si tratta di clausole
già redatte e approvate dalla Commissione Europea e che
vanno aggiunte a qualsiasi accordo tra due aziende che si scambiano dati in quanto controller e/o processor (nella terminologia del GDPR) di dati personali.
Osservare queste clausole in uno scambio bilaterale di informazioni garantisce che esso sia "sicuro" come quelli in armonia con il GDPR.
Almeno in teoria. Poi nella pratica le cose sono meno semplici.
Il limite delle Standard Data Protection Clauses è che
sono, appunto, standard. Se non sono sufficienti per uno specifico scambio e trattamento di dati, vanno integrate con clausole supplementari. Queste ovviamente non devono contraddire le clausole standard e comunque
vanno riviste sia dall'EDPB sia dalle competenti Authority nazionali. Diventa anche in questo caso difficile cavarsela da soli, senza consulenti esperti.