Questa puntata finale del blog in due parti sulla Brexit e il GDPR esaminerà la conformità e la responsabilità, cosa significa la Brexit per le aziende nel Regno Unito e a che punto siamo con il GDPR.

Leggi la prima puntata qui.  

GDPR – Garantire conformità e responsabilità

La conformità al GDPR richiede l’identificazione definitiva di tutti i dati personali in possesso, la sicurezza nel dichiarare come e perché tali dati vengono raccolti e la capacità di indicare con precisione dove i dati raccolti vengono conservati. Per ottenere la conformità al GDPR, un’organizzazione di titolari di dati deve innanzitutto effettuare una valutazione della propria situazione attuale per identificare le lacune di conformità. Attraverso la definizione delle priorità delle misure correttive, un’organizzazione può quindi intraprendere un percorso verso la conformità al GDPR.

I Titolari del trattamento dei dati dovrebbero anche essere consapevoli del fatto che, in ultima analisi, sono responsabili di garantire la conformità e quindi possono essere ritenuti responsabili per le attività di trattamento di qualsiasi responsabile del trattamento dei dati (ad esempio, i fornitori di servizi cloud) che assumono. Ciò richiede un’attenta considerazione quando si stabiliscono o si rivedono contratti che si estendono oltre il 25 maggio 2018.

Un tema ricorrente del GDPR è la responsabilità. Le organizzazioni devono essere in grado di dimostrare sia agli interessati che alle autorità di regolamentazione che è stata intrapresa la strada giusta, spesso anni dopo la decisione iniziale. I responsabili della protezione dei dati (DPO) sono obbligatori per alcune categorie di organizzazioni, come le autorità pubbliche e quelle coinvolte in trattamenti ad alto rischio. Il DPO deve avere una “conoscenza esperta” della legge sulla protezione dei dati ed è suo dovere informare e consigliare sulla conformità. Il GDPR stabilisce inoltre la necessità di adottare un approccio di Data Protection by Design e by Default per il trattamento dei dati personali. Ciò richiede che le organizzazioni adottino una mentalità proattiva piuttosto che reattiva e preventiva piuttosto che correttiva. L’uso di valutazioni d’impatto sulla privacy (PIA) è raccomandato, e in alcuni casi obbligatorio, per aiutare in questo senso.

Brexit in, Big Business out?

Questa è un’epoca in cui i dati si spostano naturalmente oltre confine. Il Regno Unito dovrebbe  non sia considerato un livello di protezione adeguato, allora, dal punto di vista legale, qualsiasi trasferimento verso il Regno Unito dovrà avvenire tramite le clausole modello dell’UE, un compito molto oneroso dal punto di vista amministrativo.

Le clausole modello sono utilizzate per consentire il trasferimento dei dati verso paesi non appartenenti all’Unione Europea e sono regolamentate dalle Autorità di Vigilanza. Possono essere necessarie anche le Norme Vincolanti d’Impresa (BCR). Si tratta sostanzialmente dello stesso strumento delle clausole modello, ma sono stabilite dall’impresa stessa per i trasferimenti intra-aziendali. Ciò comporterà costi aggiuntivi e potrebbe indurre alcune aziende a spostare una parte delle loro attività nell’UE, almeno fino a quando le cose non saranno più chiare. Altre aziende britanniche probabilmente creeranno società ombra dell’UE per delimitare i dati in nome della semplicità, una soluzione complicata e costosa pensata per facilitare la gestione dei dati. Le aziende extracomunitarie potrebbero semplicemente evitare di stabilirsi nel Regno Unito.

GDPR – A che punto siamo?

Il Segretario di Stato Karen Bradley MP ha confermato alla riunione del Culture, Media and Sports Select Committee del24 ottobre 2016: “Saremo membri dell’UE nel 2018 e quindi sarebbe prevedibile e del tutto normale per noi optare per il GDPR e poi valutare in un secondo momento il modo migliore per aiutare le imprese britanniche nella protezione dei dati, mantenendo allo stesso tempo alti livelli di protezione per i membri del pubblico”. 

Per diversi anni, infatti, sono stati l’ICO e il governo britannico a spingere per la riforma della legislazione europea, nell’ottica di una continua evoluzione dell’economia digitale del Regno Unito. Il Commissario per l’Informazione Elizabeth Denham ha commentato:

“La crescita dell’economia digitale richiede la fiducia del pubblico nella protezione dei (dati personali)… L’ICO si impegna ad assistere le aziende e gli enti pubblici a prepararsi a soddisfare i requisiti del GDPR in vista del maggio 2018 e oltre.”

Denham riconosce inoltre che verranno ancora poste domande su come funzionerà il GDPR in caso di uscita del Regno Unito dall’UE, ma questo non dovrebbe distrarre dal compito di conformarsi al GDPR entro maggio 2018.

Per assicurarti che il tuo personale sia pienamente consapevole del GDPR e di come si applicherà alla tua organizzazione, contattaci per maggiori informazioni o richiedi una demo del nostro corso eLearning sul GDPR.