Regno Unito: trasferimento internazionale di dati

Tutte le disposizioni che fanno riferimento al trasferimento dei dati devono essere aggiornate alla luce dell’entrata in vigore, lo scorso anno, delle nuove clausole contrattuali standard dell’Unione europea (SCC) e della corrispondente disciplina nel Regno Unito, adottata all’inizio del 2022.

Le nuove clausole contrattuali standard dell’UE

Le nuove clausole contrattuali standard europee sono state adottate lo scorso 27 settembre e si applicano a tutti i trasferimenti dei dati personali dall’Unione europea a Paesi terzi.

Va ricordato che il GDPR vieta il trasferimento di dati personali fuori dall’UE se tale trasferimento non soddisfa tutti le condizioni previste dalla normativa. Una di queste condizioni e’ quella di impiegare le SSC, che sono una sorta di contratto “pre-approvato” dalla Commissione europea, prevedendo obbligazioni di protezione dei dati sia in capo a chi trasferisce che a chi riceve tali dati.

Le nuove clausole contrattuali standard sono state introdotte con l’obiettivo di aggiornare la previgente disciplina.

Innanzitutto, prima di trasferire dati fuori dall’UE e’ necesario porre in essere una due diligence piu’ approfondita, valutando le conseguenze di tale trasferimento (si fa riferimento al Data Transfer Impact Assessment – DTIA). Queste nuove previsioni richiedono l’aggiornamento anche dei precedenti accordi infragrupppo (Intragroup Data Transfer Agreements – IDTAs), che contengono le SCC; e lo stesso vale per i Data Transfer Agreements stipulati con terze parti che prevedono le clausole contrattuali strandard nella versione precedente. Il riferimento alle nuove clausole contrattuali europee nei nuovi contratti costituisce, dunque, la base legale per il trasferimento dei dati fuori dall’Unione europea. Tali clausole nella loro versione precedente non possono piu’ essere contenute negli accordi stipulati il o dopo il 27 settembre 2021. Per quelli, invece, stipulati prima di tale data, le vecchie clausole rimarranno in vigore fino al 27 dicembre 2022.

Traferimento dei dati fuori dal Regno Unito

Il Regno Unito ha pubblicato una versione definitiva delle proprie clausole contrattuali standard e un appendice cui bisogna far riferimento quando si gestiscono i rapporti con l’Unione europea, quando cioe’ questa e’ parte terza nel trasferimento dei dati. Resta fermo, comunque, l’obbligo di eseguire il Data Transfer Impact Assessment prima del trasferimento.

Nel frattempo, i trasferimenti dall’UK allo spazio economico europeo possono essere fatti senza restrizioni.

Accordi sui trasferimenti dei dati e Data Transfer Impact Assessment (IDTA)

Quando si aggiorna un IDTA, sarà necessario apportare le seguenti modifiche:

  • Sostituire le precedenti SCC con quelle nuove europee (o quelle inglesi equivalenti).
  • Valutare se sono posti in esere trasferimenti infragruppo e, nel caso, predisporre la modulistica necessaria.
  • Valutare la differenza tra i trasferimenti posti in essere tra organismi che hanno sede in europa e quelli con sede nel Regno Unito.
  • Considerare i requisiti di legge previsti per i trasferimenti da una giurisdizione diversa dal Regno Unito/Unione europea.

L’aggiornamento dell’IDTA rappresenta anche una buona occasione per:

  • Predisporre procedure per il trasferimento dati conformi alla legge per enti di nuova creazione (o per quelli gia’ esistenti se non ne hanno gia’ predisposta una).
  • Aggiornare tutte le clausole che si riferiscono ai front-end controller-to-controller e controller-to-processor, uniformandole alle recenti linee guida e alle clausole contrattuali standard.
  • Rivedere la descrizione dei processi che governano il trattamento dei dati, assicurandosi che siano in linea con i trasferimenti infargruppo che vengono in pratica seguiti.

Accordi sui trasferimenti dei dati

Come gia’ chiarito, tutti gli accordi che prevedono dei riferimenti al trattamento dei dati devono essere aggiornati alle nuove previsioni di legge, secondo quanto disposto dall’Unione europea e dalla legislazione del Regno Unito. Cio’ richiede, rispetto a ogni singolo paese verso cui si trasferiscono dati, un’attenta valutazione del quadro giuridico di riferimento per chi importa dati, i potenziali danni che ne deriverebbero e delle misure necessarie per mitigare i rischi.

Redazione