di Paolo Balboni

Brexit e trasferimento dei dati personali all’estero: quali sono le conseguenze?

Tra le implicazioni di un’eventuale Brexit vi è anche la necessità di rivedere alcuni tipi di accordi contrattuali in corso tra imprese inglesi e imprese con sede nell’Unione europea. In materia di contratti di servizi tecnologici, potranno essere oggetto di modifiche anche i contratti in corso sottoscritti per la fornitura di servizi in ambito di cloud computing.

La mancanza di certezza del diritto in merito a tale tipologia di contratti è stata avvertita in tempi recenti anche dalla Commissione UE (“Commissione”), che ha pubblicato una comunicazione nel settembre 2012 che delinea la strategia di promozione dei servizi cloud, e per individuare e definire condizioni eque e sicure nella contrattazione di servizi cloud.

Tale attività, in ottica di sviluppo del Digital Single Market nell’Unione, ha portato alla redazione di Linee guida sull’uniformità dei Cloud Service Level Agreement del 26 giugno 2014, ed alla pubblicazione nel marzo 2015 di uno Studio comparativo sui contratti in materia cloud computing.

La Commissione ha sottolineato che l’attuale impianto normativo contrattuale dei paesi dell’Unione potrebbe non rispondere in maniera puntuale alle nuove esigenze dettate da un rapporto così particolare come quello del cloud computing. Questi rilievi si aggiungono senza dubbio alla eventualità di un’uscita del Regno Unito dall’Unione europea.

Tra le clausole tipiche di un contratto cloud, che dovrebbero essere oggetto di particolare attenzione causa Brexit, si possono considerare le previsioni in materia di data protection, come ad esempio i trasferimenti di dati personali extra UE, e la conservazione e distruzione dei dati personali, entrambe nel caso in cui i server del cloud provider siano localizzati in UK.

Il trasferimento di dati è stato uno dei punti critici maggiori individuati dalla Commissione. Attualmente la normativa del Regno Unito in materia di protezione dei dati personali è costituita dal Data Protection Act del 1998, di applicazione della Direttiva 95/46/CE.

Il Regolamento Generale sulla Protezione dei Dati di recente emanazione, e che sarà applicato dal maggio 2018, potrebbe infatti non doversi applicare a quella data nei trattamenti di dati personali che avvengono in UK – in caso di Brexit -, e spingere la Commissione ad emanare una decisione di adeguatezza con cui dichiara che il Regno Unito è un paese che si conforma agli standard in materia di protezione dei dati personali.

Massima attenzione anche alle modalità di conservazione dei dati personali ed alla loro distruzione in caso di scadenza del contratto. I principi generali di trasparenza e chiarezza, afferma la Commissione, devono applicarsi ai contratti cloud anche per quanto riguarda le modalità di conservazione e distruzione dei dati.

Nel Regno Unito, il documento “Guidance on the use of cloud computing” pubblicato dall’Information Commissioner’s Office nel 2012 si limita a segnalare che il cliente di un servizio cloud dovrebbe verificare cosa accadrebbe ai dati personali qualora decida di risolvere il contratto di servizi cloud.

In sintesi, nel caso di uscita del Regno Unito dall’UE, la raccomandazione per le imprese è quella di verificare che nei contratti in corso il fornitore di servizi garantisca la legalità di trasferimenti di dati extra UE, collegando tali trasferimenti a model clauses, o a binding corporate rules, e valutare se vi sono cambiamenti significativi che possano incidere in maniera importante sulla prosecuzione del rapporto, come modalità di conservazione e distruzione dei dati.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.