Contract

<.. image(Document Cover Page. Document Number: 8476/19 ADD 6. Subject Codes: PREP-BXT 126. Heading: NOTA DI TRASMISSIONE. Originator: Xxxxx XXXX XXXXXXXXX, Direttore, per conto del Segretario Generale della Commissione europea. Recipient: Xxxxx XXXXXXXX-MIKKELSEN, Segretario Generale del Consiglio dell'Unione europea. Subject: ALLEGATO della COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO, AL CONSIGLIO EUROPEO, AL CONSIGLIO, ALLA BANCA CENTRALE EUROPEA, AL COMITATO ECONOMICO E SOCIALE EUROPEO, AL COMITATO DELLE REGIONI E ALLA BANCA EUROPEA PER GLI INVESTIMENTI Affrontare le conseguenze di un recesso del Regno Unito dall'Unione senza accordo: la strategia coordinata dell'Unione Protezione dei dati Strategia coordinata in caso di recesso del Regno Unito dall'Unione senza accordo. Commission Document Number: COM(2019) 195 final ANNEX 6. Preceeding Document Number: Not Set. Location: Bruxelles. Date: 10 aprile 2019. Interinstitutional Files: Not Set. Institutional Framework: Consiglio dell'Unione europea. Language: IT. Distribution Code: PUBLIC. GUID: 5269750596289901641_0) removed ..>

Consiglio dell'Unione europea

Bruxelles, 10 aprile 2019 (OR. en)

8476/19

ADD 6

PREP-BXT 126

NOTA DI TRASMISSIONE

Origine: Xxxxx XXXX XXXXXXXXX, Direttore, per conto del Segretario Generale della Commissione europea

Data: 10 aprile 2019

Destinatario: Xxxxx XXXXXXXX-MIKKELSEN, Segretario Generale del Consiglio dell'Unione europea

n. doc. Comm.: COM(2019) 195 final ANNEX 6

Oggetto: ALLEGATO della COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO, AL CONSIGLIO EUROPEO, AL CONSIGLIO, ALLA BANCA CENTRALE EUROPEA, AL COMITATO ECONOMICO E SOCIALE EUROPEO, AL COMITATO DELLE REGIONI E ALLA BANCA

EUROPEA PER GLI INVESTIMENTI Affrontare le conseguenze di un recesso del Regno Unito dall'Unione senza accordo: la strategia coordinata dell'Unione Protezione dei dati Strategia coordinata in caso di recesso del Regno Unito dall'Unione senza accordo

Si trasmette in allegato, per le delegazioni, il documento COM(2019) 195 final ANNEX 6.

All.: COM(2019) 195 final ANNEX 6

8476/19 ADD 6 bp

UKTF IT

COMMISSIONE EUROPEA

Bruxelles, 10.4.2019

COM(2019) 195 final

ANNEX 6

ALLEGATO

della

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO, AL CONSIGLIO EUROPEO, AL CONSIGLIO, ALLA BANCA CENTRALE EUROPEA, AL COMITATO ECONOMICO E SOCIALE EUROPEO, AL COMITATO DELLE REGIONI E ALLA BANCA EUROPEA PER GLI INVESTIMENTI

Affrontare le conseguenze di un recesso del Regno Unito dall'Unione senza accordo: la strategia coordinata dell'Unione

Protezione dei dati

Strategia coordinata in caso di recesso del Regno Unito dall'Unione senza accordo

IT IT

1. INTRODUZIONE

Il 29 marzo 2017 il Regno Unito ha notificato l'intenzione di recedere dall'Unione. La Commissione rimane convinta che un recesso ordinato del Regno Unito dall'Unione sulla base dell'accordo di recesso, sottoscritto dal governo del Regno Unito e approvato dal Consiglio europeo (Articolo 50) il 25 novembre 2018, costituisca la soluzione migliore. La Commissione continua a concentrarsi su tale obiettivo. Tuttavia, a due giorni dal termine del 12 aprile 2019 fissato in seguito alla proroga stabilita dal Consiglio europeo1, aumenta notevolmente la probabilità di un recesso disordinato del Regno Unito dall'Unione.

2. IL TRASFERIMENTO DI DATI VERSO IL REGNO UNITO NEL CASO DI UN RECESSO SENZA ACCORDO

L'Unione dispone di una serie completa di norme che disciplinano il trasferimento dei dati personali verso i paesi terzi ed è su questa base che verranno effettuati i trasferimenti di dati con il Regno Unito nel caso di una Brexit senza accordo. Rientrano in tali norme segnatamente il regolamento generale sulla protezione dei dati (GDPR)2 e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie3. La presente nota è incentrata principalmente sugli strumenti del regolamento generale sulla protezione dei dati.

Come indicato nella comunicazione della Commissione sui preparativi per la Brexit del 13 novembre 2018, la Commissione ritiene che, in mancanza di accordo, gli strumenti esistenti per lo scambio dei dati siano sufficienti a soddisfare le necessità immediate per quanto riguarda il trasferimento di dati verso il Regno Unito. Tali strumenti sono già utilizzati per il trasferimento di dati a tutti i paesi del mondo, ad eccezione dei tredici paesi terzi o territori coperti (parzialmente) da una decisione di adeguatezza4. Di conseguenza la Commissione non ha adottato una misura di emergenza in questo settore e, al momento attuale, non prevede di adottare una decisione di adeguatezza nei confronti del Regno Unito.

Le disposizioni di cui al capo V del regolamento generale sulla protezione dei dati prevedono un ampio ventaglio di strumenti per il trasferimento di dati verso paesi terzi, sia per quanto riguarda gli enti privati che per le autorità pubbliche, e segnatamente:

1 Decisione 2019/476 del Consiglio europeo adottata d'intesa con il Regno Unito, del 22 marzo 2019, che proroga il termine previsto dall'articolo 50, paragrafo 3, TUE (GU L 80 I del 22.3.2019, pag. 1).

2 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 00/00/XX (xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxx xxx xxxx) (XX L 119 del 4.5.2016, pag. 1).

3 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 0000/000/XXX xxx Xxxxxxxxx (XX L 119 del 4.5.2016, pag. 89).

4 Tali paesi e territori sono: Andorra, l'Argentina, il Canada (solo per quanto riguarda le organizzazioni commerciali), le Isole Fær Øer, Guernsey, Israele, l'Isola di Man, il Giappone, Jersey, la Nuova Zelanda, la Svizzera, l'Uruguay e gli Stati Uniti (limitatamente allo "scudo per la privacy").

• clausole contrattuali tipo: la Commissione ha approvato tre serie di clausole contrattuali tipo sulle quali gli operatori commerciali possono direttamente basarsi per i loro trasferimenti verso paesi terzi. Tali clausole tipo possono essere consultate sul sito Internet della Commissione5.

• norme vincolanti d'impresa: nell'ambito di un gruppo di imprese possono applicarsi norme sulla protezione dei dati giuridicamente vincolanti, approvate dalla competente autorità per la protezione dei dati;

• codici di condotta e meccanismi di certificazione: tali strumenti possono offrire garanzie adeguate per i trasferimenti di dati personali se contengono impegni vincolanti e azionabili da parte dell'organizzazione nel paese terzo, anche per quanto riguarda i diritti delle persone fisiche;

• le deroghe, ovvero i "motivi legali" per i trasferimenti, quali, ad esempio, il consenso, l'esecuzione di un contratto, l'esercizio di un diritto in sede giudiziaria o importanti motivi di interesse pubblico (si veda la sezione 3 per ulteriori informazioni sulle deroghe).

Per ulteriori informazioni, si veda l'avviso relativo alla preparazione alla Brexit per quanto riguarda la protezione dei dati6 e la nota informativa del comitato europeo per la protezione dei dati sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo7.

3. MISURE CONCRETE CHE GLI ESPORTATORI DI DATI DELL'UE (IMPRESE E AUTORITÀ) DEVONO ADOTTARE PER GARANTIRE IL RISPETTO COSTANTE DELLE NORME DELL'UE

Gli esportatori di dati dovrebbero utilizzare gli strumenti che ritengono più appropriati per il trasferimento di dati relativi a persone fisiche verso il Regno Unito.

Prima di trasferire dati nel Regno Unito, essi dovrebbero:

1. individuare quali sono le attività di trattamento che comporteranno un trasferimento di dati personali verso il Regno Unito;

2. determinare lo strumento di trasferimento dei dati appropriato a ciascuna situazione;

3. fare in modo che lo strumento scelto per il trasferimento dei dati sia pronto per l'attuazione alla data del recesso;

4. indicare nella documentazione interna che saranno effettuati trasferimenti verso il Regno Unito; e

5. se del caso, aggiornare conseguentemente l'informativa sulla privacy al fine di informare gli interessati.

5 xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxx-xxxxxxxxx-xxxxxxx-xx/xxxxx-xxxxxxxxx- transfer-personal-data-third-countries_en

6 xxxxx://xx.xxxxxx.xx/xxxx/xxxxx/xxxx/xxxxx/xxxx_xxxxxx/xxxx_xxxxxxxxxx_xx.xxx

7 xxxxx://xxxx.xxxxxx.xx/xxx-xxxx-xxxxx/xxx-xxxxxxxxx/xxxxx/xxxxxxxxxxx-xxxx-xxxx-xxxxxxxxx-xxxxx- gdpr-event-no-deal-brexit_en

Trasferimenti di dati sulla base di deroghe

Per quanto riguarda i trasferimenti di dati verso il Regno Unito sulla base di deroghe8, i titolari del trattamento dovrebbero essere consapevoli del fatto che tali deroghe costituiscono eccezioni alla regola secondo cui devono essere predisposte garanzie adeguate. Pertanto le deroghe devono essere interpretate in modo restrittivo e riguardare prevalentemente attività di trattamento occasionali e non ripetitive.

Rientrano in tali deroghe, tra l'altro, le seguenti situazioni:

• la situazione in cui una persona ha esplicitamente acconsentito al trasferimento proposto dopo aver ottenuto tutte le informazioni necessarie in merito ai rischi associati al trasferimento;

• quando il trasferimento è necessario per l'esecuzione o la conclusione di un contratto tra l'interessato e il titolare del trattamento o quando il contratto è concluso nell'interesse dell'interessato;

• se il trasferimento dei dati è necessario per importanti motivi di interesse pubblico. Un esempio di trasferimento di dati per importanti motivi di interesse pubblico può essere lo scambio internazionale di dati tra servizi competenti in materia di sicurezza sociale9;

• se il trasferimento dei dati è necessario per il perseguimento degli interessi legittimi cogenti dell'organizzazione, su cui non prevalgano gli interessi dell'interessato. Quando si basa su tale deroga, l'organizzazione deve offrire garanzie adeguate per quanto riguarda la protezione dei dati personali.

Ulteriori chiarimenti e spiegazioni in merito alle deroghe e alle modalità di applicazione sono contenuti nelle linee guida del comitato europeo per la protezione dei dati sulle deroghe di cui all'articolo 4910.

Strumenti a disposizione esclusivamente di autorità o organismi pubblici

Le autorità degli Stati membri possono anche ricorrere ad accordi amministrativi giuridicamente non vincolanti come i protocolli d'intesa11. Tali accordi amministrativi sono subordinati all'autorizzazione dell'autorità nazionale di controllo competente, previo parere del comitato europeo per la protezione dei dati.

Ai sensi della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, le autorità di contrasto penali (ad esempio la polizia o i pubblici ministeri) possono

8 A norma dell'articolo 49 del regolamento generale sulla protezione dei dati.

9 Considerando 112 del regolamento generale sulla protezione dei dati.

10 xxxxx://xxxx.xxxxxx.xx/xxx-xxxx-xxxxx/xxx-xxxxxxxxx/xxxxxxxxxx/xxxxxxxxxx-00000-xxxxxxxxxxx-xxxxxxx- 49-under-regulation_it

11 Articolo 46, paragrafo 3, lettera b), del regolamento generale sulla protezione dei dati. Un esempio recente di un accordo di questo tipo che ha ottenuto un parere favorevole dal comitato europeo per la protezione dei dati è l'accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria di paesi non appartenenti al SEE. Il testo dell'accordo è disponibile sul sito web del comitato europeo per la protezione dei dati: xxxxx://xxxx.xxxxxx.xx/xxx-xxxx-xxxxx/xxx-xxxxxxxxx/xxxxx/xxxxx-xxxxxxxxxxxxxx- arrangement-transfer-personal-data-between_en

trasferire dati personali alle autorità del Regno Unito qualora, sulla base di una propria valutazione delle circostanze del trasferimento, giungano alla conclusione che sussistono garanzie adeguate per la protezione dei dati12. Il regolamento Europol13 e la direttiva sul codice di prenotazione14 prevedono disposizioni specifiche sul trasferimento di dati personali alle autorità di paesi terzi da parte, rispettivamente, di Europol e delle autorità competenti degli Stati membri.

Trasferimento di dati verso il Regno Unito da parte di operatori commerciali

Gli strumenti disponibili per il trasferimento di dati verso paesi terzi da parte di imprese private dovrebbero essere ben noti agli operatori commerciali degli Stati membri e del Regno Unito, in quanto sono già attualmente utilizzati per il trasferimento di dati personali verso paesi terzi. Informazioni sull'uso di tali strumenti di trasferimento sono state inoltre fornite recentemente alle parti interessate nel contesto dell'entrata in applicazione della nuova legislazione sulla protezione dei dati nel maggio 2018. Si esortano tuttavia gli Stati membri a garantire che le imprese che non hanno familiarità con i trasferimenti di dati verso paesi terzi, ad esempio piccole e medie imprese che in passato commerciavano solo con Stati membri, vengano a conoscenza di tali strumenti.

Un sostegno costante agli Stati membri

La Commissione, e in particolare la Direzione generale per la giustizia e i consumatori, collabora con le parti interessate e le autorità preposte alla protezione dei dati al fine di utilizzare nel modo migliore gli strumenti per il trasferimento dei dati offerti dal regolamento generale sulla protezione dei dati ed è pronta a sostenere gli Stati membri per quanto riguarda l'applicazione degli strumenti disponibili. Inoltre, la Commissione ha costituito un gruppo di esperti portatori di interessi, formato da rappresentanti dell'industria, della società civile e del mondo accademico, per sostenere l'applicazione del regolamento generale sulla protezione dei dati. Infine, i portatori di interessi possono rivolgersi alle rispettive autorità nazionali per la protezione dei dati per ricevere informazioni più specifiche sull'uso degli strumenti per il trasferimento dei dati.

4. ALTRE INFORMAZIONI

Le autorità pubbliche e i portatori di interessi possono trovare ulteriori informazioni sulle conseguenze di un recesso disordinato del Regno Unito nel settore della protezione dei dati nel seguente sito web della Commissione:

xxxxx://xx.xxxxxx.xx/xxxx/xxxxxx/xxxxxx-xxxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxx_xx

12 Articolo 37, paragrafo 1, lettera b), della direttiva (UE) 2016/680.

13 Articolo 25 del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) (GU L 135 del 24.5.2016, p. 53).

14 Articolo 11 della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU L 119 del 4.5.2016, pag. 132).