Se non ci saranno novità, il 31 Ottobre prossimo avremo la cosiddetta “no-deal Brexit”, ossia l'uscita del Regno Unito dall'Unione Europea senza alcun tipo di accordo in merito. Per quelle aziende che gestiscono dati personali (di fornitori, clienti, dipendenti, ecc…) l'elemento più critico è che nell’ipotesi di una “no-deal Brexit” decadrebbe automaticamente l'inclusione del Regno Unito tra le nazioni "coperte" dal GDPR. In sostanza, a partire dal 31 Ottobre il Regno Unito (formalmente Inghilterra, Galles, Scozia, Irlanda del Nord e Territori d'Oltremare) diventerà un "Paese terzo", da e verso il quale la circolazione di dati non sarà più implicitamente garantita dal GDPR. Decaduto il GDPR, le strade legali a disposizione per continuare a scambiare i dati personali saranno soltanto tre.

Le tre strade dopo una “no-deal Brexit”

• … adottando una adequacy decision
  La prima strada consiste nel fatto che l’UE riconosca ufficialmente come adeguate le norme che il Regno Unito applica per la tutela dei dati personali. In questo caso la Commissione Europea emetterà una "adequacy decision", come già è stato fatto per gli USA, Israele, la Svizzera e il Giappone. Una “adequacy decision” favorevole al Regno Unito sarebbe legalmente semplice, perché la legislazione inglese ha già recepito il GDPR. Tuttavia è difficile che una “adequacy decision” per il Regno Unito possa formalizzarsi prima di un anno, perché è un procedimento burocratico lungo. E dodici mesi senza una tutela chiara nello scambio dei dati personali sono impossibili da sostenere per qualunque impresa che operi a livello internazionale. In assenza di una tutela formale che copra tutta la nazione, le aziende dovrebbero muoversi in ordine sparso, cioè proteggendo i propri flussi di dati da e verso le specifiche controparti.
  
  
• … adottando nome vincolanti BCR
  Le multinazionali possono avvalersi delle norme vincolanti d’impresa BCR (Binding Corporate Rules). In altre parole, le multinazionali definiscono proprie regole per la condivisione e la protezione dei dati personali in maniera che siano conformi con i requisiti del GDPR. In questo modo, si renderebbe possibile scambiare dati all’interno della multinazionale e riceverne da altre controparti, proprio sulla base di questa garanzia. E’ importante precisare che le BCR non costituiscono un’autocertificazione. Necessitano di essere esaminate dallo European Data Protection Board e approvate dalle Authority nazionali competenti per la privacy.
  
  
• … adottando nome ad hoc
  Le multinazionali possono avvalersi delle “Standard Data Protection Clauses” (clausole contrattuali ad hoc per il trasferimento di dati a carattere personale verso Paesi terzi). Si tratta di clausole già redatte e approvate dalla Commissione Europea e che vanno aggiunte a qualsiasi accordo tra due aziende che si scambiano dati in quanto Data Controller e/o Data Processor di dati personali. L’osservanza di tali clausole in uno scambio bilaterale di dati garantisce che esso sia "sicuro" come quelli conformi al GDPR. Il limite delle “Standard Data Protection Clauses” è che sono solamente degli standard, che vanno integrate con clausole supplementari. Queste ovviamente non devono contraddire le clausole standard e devono essere visionate e approvate dalle Authority nazionali competenti.
  
  
  Fonte: https://www.impresacity.it