di Paolo Balboni
Brexit e trasferimento dei dati personali all’estero: quali sono le conseguenze?
Tra le implicazioni di un’eventuale Brexit vi è anche la necessità di rivedere alcuni tipi di accordi contrattuali in corso tra imprese inglesi e imprese con sede nell’Unione europea. In materia di contratti di servizi tecnologici, potranno essere oggetto di modifiche anche i contratti in corso sottoscritti per la fornitura di servizi in ambito di cloud computing.
La mancanza di certezza del diritto in merito a tale tipologia di contratti è stata avvertita in tempi recenti anche dalla Commissione UE (“Commissione”), che ha pubblicato una comunicazione nel settembre 2012 che delinea la strategia di promozione dei servizi cloud, e per individuare e definire condizioni eque e sicure nella contrattazione di servizi cloud.
Tale attività, in ottica di sviluppo del Digital Single Market nell’Unione, ha portato alla redazione di Linee guida sull’uniformità dei Cloud Service Level Agreement del 26 giugno 2014, ed alla pubblicazione nel marzo 2015 di uno Studio comparativo sui contratti in materia cloud computing.
La Commissione ha sottolineato che l’attuale impianto normativo contrattuale dei paesi dell’Unione potrebbe non rispondere in maniera puntuale alle nuove esigenze dettate da un rapporto così particolare come quello del cloud computing. Questi rilievi si aggiungono senza dubbio alla eventualità di un’uscita del Regno Unito dall’Unione europea.
Tra le clausole tipiche di un contratto cloud, che dovrebbero essere oggetto di particolare attenzione causa Brexit, si possono considerare le previsioni in materia di data protection, come ad esempio i trasferimenti di dati personali extra UE, e la conservazione e distruzione dei dati personali, entrambe nel caso in cui i server del cloud provider siano localizzati in UK.
Il trasferimento di dati è stato uno dei punti critici maggiori individuati dalla Commissione. Attualmente la normativa del Regno Unito in materia di protezione dei dati personali è costituita dal Data Protection Act del 1998, di applicazione della Direttiva 95/46/CE.
Il Regolamento Generale sulla Protezione dei Dati di recente emanazione, e che sarà applicato dal maggio 2018, potrebbe infatti non doversi applicare a quella data nei trattamenti di dati personali che avvengono in UK – in caso di Brexit -, e spingere la Commissione ad emanare una decisione di adeguatezza con cui dichiara che il Regno Unito è un paese che si conforma agli standard in materia di protezione dei dati personali.
Massima attenzione anche alle modalità di conservazione dei dati personali ed alla loro distruzione in caso di scadenza del contratto. I principi generali di trasparenza e chiarezza, afferma la Commissione, devono applicarsi ai contratti cloud anche per quanto riguarda le modalità di conservazione e distruzione dei dati.
Nel Regno Unito, il documento “Guidance on the use of cloud computing” pubblicato dall’Information Commissioner’s Office nel 2012 si limita a segnalare che il cliente di un servizio cloud dovrebbe verificare cosa accadrebbe ai dati personali qualora decida di risolvere il contratto di servizi cloud.
In sintesi, nel caso di uscita del Regno Unito dall’UE, la raccomandazione per le imprese è quella di verificare che nei contratti in corso il fornitore di servizi garantisca la legalità di trasferimenti di dati extra UE, collegando tali trasferimenti a model clauses, o a binding corporate rules, e valutare se vi sono cambiamenti significativi che possano incidere in maniera importante sulla prosecuzione del rapporto, come modalità di conservazione e distruzione dei dati.