Questa puntata finale del blog in due parti su Brexit e GDPR esaminerà la conformità e la responsabilità, cosa significa Brexit per le imprese nel Regno Unito e dove siamo ora con il GDPR.
Leggi la prima puntata qui.
GDPR - Fornire conformità e responsabilità
La conformità al GDPR richiede l'identificazione definitiva di tutti i dati personali detenuti, la sicurezza nel dichiarare come e perché tali dati vengono raccolti, e la capacità di dichiarare con precisione dove i dati raccolti vengono conservati. Affinché un'organizzazione di controllori di dati possa raggiungere la conformità al GDPR, deve prima di tutto eseguire una valutazione della propria situazione attuale per identificare le lacune di conformità. Attraverso la prioritizzazione delle misure di rimedio, un'organizzazione può quindi forgiare un percorso verso la conformità al GDPR.
I responsabili del trattamento dei dati dovrebbero anche essere consapevoli del fatto che sono in ultima analisi responsabili di garantire la conformità e quindi possono essere ritenuti responsabili per le attività di trattamento di qualsiasi elaboratore di dati (ad esempio i fornitori di servizi cloud) che assumono. Questo richiede un'attenta considerazione quando si stabiliscono o si rivedono i contratti che si estendono oltre il 25 maggio 2018.
Un tema ricorrente del GDPR è la responsabilità. Le organizzazioni devono essere in grado di dimostrare sia agli interessati che alle autorità di regolamentazione che è stata presa la strada giusta, spesso anni dopo che la decisione iniziale è stata presa. I responsabili della protezione dei dati (DPO) sono obbligatori per alcune categorie di organizzazioni come le autorità pubbliche e quelle coinvolte nel trattamento ad alto rischio. Il DPO deve avere una "conoscenza esperta" della legge sulla protezione dei dati ed è loro dovere informare e consigliare sulla conformità. Il GDPR afferma anche la necessità di una protezione dei dati per progettazione e per impostazione predefinita per il loro trattamento dei dati personali. Questo richiede alle organizzazioni di adottare una mentalità basata sul proattivo piuttosto che sul reattivo e sul preventivo piuttosto che sul correttivo. L'uso di valutazioni d'impatto sulla privacy (PIA) è raccomandato, e in alcuni casi obbligatorio, per aiutare in questo senso.
Brexit in, Big Business out?
Questa è un'epoca in cui i dati si muovono naturalmente attraverso i confini. Se si ritiene che il Regno Unito non abbia un adeguato livello di protezione, allora legalmente, qualsiasi trasferimento verso il Regno Unito dovrebbe avvenire tramite le clausole modello dell'UE, un compito molto pesante dal punto di vista amministrativo.
Le clausole modello sono utilizzate per consentire il trasferimento di dati a paesi non UE e sono regolate dalle autorità di vigilanza. Possono essere necessarie anche le Binding Corporate Rules (BCR). Queste sono fondamentalmente lo stesso strumento delle clausole modello ma sono stabilite dall'impresa stessa per i trasferimenti intra-aziendali. Questo aggiungerà spese e potrebbe portare alcune aziende a spostare una parte delle loro operazioni nell'UE, almeno finché le cose non saranno più chiare. Altre aziende britanniche probabilmente creeranno società ombra dell'UE per delimitare i dati per amore della semplicità, una soluzione complicata e costosa progettata per rendere più facile la gestione dei dati. Le aziende al di fuori dell'UE potrebbero semplicemente evitare di stabilirsi nel Regno Unito.
GDPR - A che punto siamo?
Il Segretario di Stato Karen Bradley MP ha confermato all'incontro del Culture, Media and Sports Select Committee il24 ottobre 2016: "Saremo membri dell'UE nel 2018 e quindi sarebbe previsto e abbastanza normale per noi optare per il GDPR e poi guardare più tardi come meglio potremmo essere in grado di aiutare le imprese britanniche con la protezione dei dati, pur mantenendo alti livelli di protezione per i membri del pubblico."
Per diversi anni, infatti, sono stati l'ICO e il governo britannico a spingere per la riforma del diritto comunitario nell'aspirazione di una continua evoluzione dell'economia digitale del Regno Unito. Il commissario per l'informazione Elizabeth Denham ha commentato:
"La crescita dell'economia digitale richiede la fiducia del pubblico nella protezione dei (dati personali) ... L'ICO si impegna ad assistere le imprese e gli enti pubblici a prepararsi a soddisfare i requisiti del GDPR in vista del maggio 2018 e oltre."
La signora Denham riconosce anche che le domande su come il GDPR funzionerebbe con l'uscita del Regno Unito dall'UE saranno ancora poste, ma questo non dovrebbe distrarre dal compito di conformarsi al GDPR entro maggio 2018.
Per assicurarti che il tuo staff sia pienamente consapevole del GDPR e di come verrà applicato alla tua organizzazione, contattaci per maggiori informazioni o richiedi una demo del nostro corso eLearning sul GDPR.