La Brexit potrebbe comportare un cambiamento nella strategia di compliance privacy di una serie di società, soprattutto quelle con il proprio headquarter in Gran Bretagna. Dobbiamo ancora comprendere le decisioni politiche che saranno prese a seguito del referendum inglese, ma qui cerchiamo di illustrare i possibili scenari in relazione agli effetti sulla normativa privacy:
La normativa privacy europea sarà ancora applicabile in Gran Bretagna?
La risposta a questa domanda dipende dal fatto che la Gran Bretagna esca o meno dall’Unione Europea e se rimarrà parte dello Spazio Economico Europeo (SEE) che la renderebbe comunque soggetta alla normativa privacy europea.
Come già avviene con la Norvegia, l’Islanda e il Liechtenstein che non sono parte dell’Unione Europea, il trasferimento dei dati personali in Gran Bretagna rimarrebbe libero e la Gran Bretagna continuerebbe ad essere trattata come qualsiasi altro Stato europeo in relazione alla normativa privacy applicabile.
In caso negativo, cosa accadrà al trasferimento dei dati dopo la Brexit?
Qualora la Gran Bretagna non rimanesse parte dello Spazio Economico Europeo, non sarà più soggetta alla normativa europea sul trattamento dei dati personali, ivi compreso il Regolamento privacy europeo (il cosiddetto GDPR). Quale conseguenza di ciò il trasferimento dei dati personali verso la Gran Bretagna sarà considerato un trasferimento verso un Paese non comunitario.
Tuttavia, come già dichiarato dall’Information Commissioner inglese, è alquanto probabile che la Commissione europea considererà il livello di protezione dei dati personali garantito dalla normativa privacy inglese “adeguato“. Ciò comporta che il trasferimento dei dati verso la Gran Bretagna rimarrà libero, come già accade per altre nazioni come il Canada, la Svizzera e Israele.
Avete stipulato le Binding Corporate Rules?
Le Binding Corporate Rules (BCR) sono ai sensi del regime che sarà introdotto dalla GDPR uno degli strumenti più efficienti per gestire il trasferimento dei dati al di fuori dell’SEE. Tuttavia, la maggior parte delle società (la lista è disponibile qui) che hanno adottato le BCR hanno identificato l’Information Commissioner inglese come lead authority.
L’approvazione delle BCR richiede anche l’approvazione da parte delle autorità privacy degli altri Stati europei. Tuttavia sarà interessante verificare la posizione che la Commissione europea adotterà sulla questione. Le società potrebbero avere necessità di nominare una diversa lead authority o invece una nuova procedura di autorizzazione sarà richiesta? Questo significa che dovranno anche spostare il proprio headquarter?
Dovranno cambiare la propria strategia privacy sulle GDPR?
Un’importante innovazione introdotta dal Regolamento privacy europeo è la regola del one-stop-shop. Le società dovranno identificare l’autorità privacy del proprio principale luogo di stabilimento nello Spazio Economico Europeo (i.e. del proprio headquarter europeo) che agirà come lead authority in caso di controversie transnazionali.
I vantaggi della regola del one-stop-shop sono diminuiti progressivamente nelle diverse versioni del regolamento prima della sua approvazione finale. Ma poiché la Gran Bretagna potrebbe non essere più parte dell’SEE dopo la Brexit, le società dovranno identificare una diversa lead authority e potenzialmente riorganizzare il proprio gruppo.
In ogni caso la GDPR continuerà ad applicarsi alle società inglesi che guardano all’Europa. Indipendentemente dagli scenari sopra indicati, le società inglesi che offrono prodotti e servizi a individui situati nello Spazio Economico Europeo dovranno in ogni caso conformarsi con il Regolamento privacy europeo. L’applicabilità del Regolamento anche a società extraeuropee è infatti una delle principali novità che saranno introdotte.
(Foto Freestocks.org, CC0 1.0)
L'articolo La Brexit cambia la strategia privacy è stato pubblicato originariamente su Tech Economy - The Business Value of Technology.