Brexit si GDPR

Zilele se scurg din ce în ce mai repede spre un verdict din ce în ce mai probabil: “no deal Brexit”.  Las detaliile politice, economice și sociale pe seama specialiștilor și comentatorilor din domeniile respective.  Dar cu atât de puține zile la dispoziție până la termenul fatidic, cred că e momentul să discutăm și despre impactul Brexitului asupra transferurilor de date personale din perspectiva GDPR.

Situația pre-Brexit

Conform GDPR, transferurile transfrontaliere de date personale au un tratament diferențiat în funcție de destinație.  Le vom trata în ordinea gradului de risc asociat de către Comisia Europeană și obligatoriu pentru toate statele membre UE.

În prima categorie, cu riscul cel mai scăzut, se încadrează țările din Spațiul Economic European (Uniunea Europeană + Norvegia, Island și Liechtenstein).  Până la 29 martie 2019 transferurile de date către Marea Britanie, în temeiul apartenenței sale la Uniunea Europeană, nu impun măsuri deosebite de protecție a datelor.

A doua categorie este definită de Scutul de Protecție (Privacy Shield) – un tratat multilateral între Uniunea Europeană și Statele Unite.  Transferurile de date către firmele înregistrate în programul Privacy Shield, administrat de Departamentul de Comerț al Statelor Unite, nu trebuie să fie protejate de măsuri suplimentare de protecție.

A treia categorie este formată de un număr redus de țări ale căror standarde naționale de protecție a datelor au fost considerate a fi adecvate de către Comisia Europeană.  Printre aceste state se numără Andorra, Argentina, Canada, Israel, Nouă Zeelandă, Elveția, Uruguay și recent Japonia.  În mod similar transferurile de date către aceste state nu trebuie să fie protejate de măsuri suplimentare de protecție.

Transferurile de date catre a patra categorie, restul țărilor lumii, impun cu fermitate o serie de măsuri de protecție suplimentară detaliate în Regulamentul General de Protecție a Datelor Personale.

Situația post-Brexit

În cazul neajungerii la niciun acord de retragere din Uniunea Europeană, din punctul de vedere al standardelor GDPR, Marea Britanie va fi în mod automat considerată ca făcând parte din a patra categorie de risc deoarece nu există în prezent niciun acord gen Privacy Shield sau decizie formală de adecvare emisă de Comisia Europeană.

Ca urmare, din 29 martie 2019 până la semnarea unui acord multilateral similar Scutului de Protecție sau emiterea unei decizii de adecvare din partea Comisiei Europene, transferurile de date personale către Marea Britanie vor trebui să fie protejate de măsuri speciale – chiar dacă legislația britanică în materie de protecția datelor este perfect aliniată celei europene.

Concluzia

Organizațiile din România (societăți comerciale, instituții publice și organizații non-profit) care transferă date personale către Marea Britanie nu au prea mult timp la dispoziție pentru a se asigura că nu vor suferi rigorile GDPR în materie de transferuri internaționale de date.

Soluția

1.  Identificați datele personale transferate către Marea Britanie
2.  Identificați operațiunile de prelucrare care necesită transferul datelor
3.  Verificați necesitatea continuării transferării datelor după 29 martie 2019
4.  Selectați și implementați mecanismele de menținere a confidențialității și protecției datelor personale în cazul transferului către Marea Britanie după 29 martie
5.  Monitorizați situația Marii Britanii post-Brexit cu referire la GDPR pentru a vă ajusta măsurile organizatorice, contractuale sau tehnice

Op.team Associates, o firmă de consultantă specializată în GDPR, vă stă la dispoziție pentru soluționarea oricăror probleme specifice conformitătii la standardele europene de protecție a datelor personale.  Contactați-ne.