Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea. Il Garante della privacy, con comunicato 7 gennaio 2021, illustra le le conseguenze del completamento del processo cosiddetto di “Brexit” in termini di protezione dati.

Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). In questo periodo, di conseguenza, qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.
Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza al fine di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio. Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie, ma solo in via residuale e secondo un approccio restrittivo.
Per eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito – in quanto Paese terzo – non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. Le imprese con sede nel Regno Unito non potranno, quindi, più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.
In ogni caso, dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell’articolo 27 sempre del GDPR, il quale può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno del nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.