In seguito all'uscita del Regno Unito dall'UE, molte organizzazioni si sono chieste quale impatto avrà la Brexit sul GDPR e quali misure dovrebbero essere prese per conformarsi alle nuove leggi e regolamenti.
Quando il GDPR è entrato in vigore il 25 maggio 2018, ha segnalato la più grande scossa delle leggi sulla privacy dei dati in 20 anni. La legislazione è stata progettata per standardizzare le regole di protezione dei dati in tutta l'Unione europea e per riconoscere i diritti degli individui per quanto riguarda l'uso dei loro dati personali.
Le organizzazioni hanno speso molto tempo e sforzi negli ultimi due anni per migliorare i processi di protezione dei dati e implementare nuove misure per conformarsi alla storica legislazione.
Questo impegno per la protezione dei dati non è stato vano, poiché molte delle misure intraprese rimarranno rilevanti e non cambieranno il modo in cui le imprese con sede nel Regno Unito elaborano i dati dei soggetti all'interno di questo paese.
Tuttavia, ora che il Regno Unito ha formalmente lasciato l'UE, le organizzazioni dovranno valutare quali cambiamenti devono essere fatti per garantire la conformità con la legislazione sulla protezione dei dati.
Per rispondere a tutte le domande che potreste avere, abbiamo messo insieme una breve guida che delinea ciò che i cambiamenti possono significare per il vostro business.
Brexit e GDPR - Tutto quello che devi sapere
Il GDPR sarà ancora applicabile nel Regno Unito?
Il1° gennaio 2021, il GDPR dell'UE ha cessato di essere applicato nel Regno Unito in quanto è un regolamento dell'UE. Tuttavia, se la tua azienda opera nel Regno Unito, dovrai ancora rispettare la legge britannica sulla protezione dei dati. Il governo britannico ha incorporato il GDPR nella legge britannica come il GDPR del Regno Unito.
In pratica, questo significa che molto poco è cambiato. Ci sono state alcune modifiche apportate per riflettere lo status del Regno Unito fuori dall'UE, ma essenzialmente i principi fondamentali di protezione dei dati, i diritti e gli obblighi del GDPR rimangono gli stessi e sono stati sanciti nel GDPR del Regno Unito.
Il GDPR sarà ancora applicabile se la tua azienda opera nello Spazio economico europeo (SEE)?
Sì. Se la tua azienda opera in Europa, offre beni o servizi a persone in Europa, o monitori il comportamento di persone in Europa, allora il GDPR dell'UE sarà ancora applicabile. Se la tua organizzazione ha attività di elaborazione sia nell'UE che nel Regno Unito, dovrai rispettare sia il GDPR del Regno Unito che il GDPR dell'UE.
Come influisce la Brexit sui trasferimenti internazionali di dati?
Come parte del nuovo accordo commerciale, l'UE ha accettato di ritardare le restrizioni di trasferimento per un periodo limitato fino a quattro mesi, che può essere esteso a sei. Questo meccanismo ponte permetterà ai dati personali di fluire liberamente dallo Spazio economico europeo (SEE) al Regno Unito fino a quando una decisione di adeguatezza sarà raggiunta.
Dal momento che il Regno Unito ha lasciato l'UE, è classificato come un "paese terzo" per l'Europa sotto il GDPR. I paesi terzi sono stati che non rientrano nella zona del GDPR dell'UE. I trasferimenti di dati dall'UE ai paesi terzi sono soggetti a restrizioni a meno che la Commissione europea non conceda uno status chiamato "adeguatezza".
La Commissione europea assegna l'adeguatezza ai paesi se si ritiene che abbiano un livello adeguato di protezione dei dati. Altri paesi che hanno ottenuto lo status di adeguatezza dall'UE includono Argentina, Nuova Zelanda, Israele e Giappone. Se il Regno Unito ottiene l'adeguatezza, il libero flusso di dati personali continuerà senza nuove restrizioni.
L'UE sarà adeguata per i trasferimenti di dati dal Regno Unito?
Sì. Il governo britannico ha confermato che riconoscerà transitoriamente l'UE come adeguata per consentire i flussi di dati dal Regno Unito senza ulteriori meccanismi di trasferimento.
La tua azienda avrà bisogno di un rappresentante europeo?
Se la vostra azienda offre beni o servizi a persone nel SEE o monitorate il comportamento di persone nel SEE, allora potrebbe essere necessario nominare un rappresentante UE. Allo stesso modo, se la vostra azienda non ha sede nel Regno Unito ma trattate i dati personali di cittadini britannici, potreste aver bisogno di nominare un rappresentante del Regno Unito ai sensi del GDPR del Regno Unito.
Quale sarà il ruolo dell'ICO?
L'ICO rimarrà l'organo di controllo indipendente che governa la legislazione sulla protezione dei dati del Regno Unito. Tuttavia, non sarà più un'autorità di vigilanza dell'UE, quindi se trattate i dati dei cittadini dell'UE, dovrete avere un rappresentante UE nominato. L'ICO ha dichiarato chiaramente che se trattate i dati dei cittadini dell'UE, dovrete comunque rispettare il GDPR.
Chi informerete in caso di violazione dei dati?
In caso di violazione dei dati, un'azienda con sede nel Regno Unito dovrebbe contattare l'ICO. Dopo la Brexit, l'ICO indagherà solo sugli incidenti relativi alla protezione dei dati che coinvolgono individui del Regno Unito. Se la violazione coinvolge più nazionalità, l'ICO avvierà un'indagine e tratterà con le autorità di vigilanza in ciascuno dei territori interessati. Se sono coinvolti soggetti di dati CEE, sarà necessario contattare direttamente le autorità di vigilanza UE pertinenti.
Saranno interessati altri regolamenti sulla protezione dei dati?
DPA
Il Data Protection Act 2018 del Regno Unito(DPA 2018) continuerà ad essere applicato, integrando il GDPR del Regno Unito.
PECR
Il Privacy and Electronic Communications Regulations 2003 (PECR) fornisce regole per il marketing, i cookie e le comunicazioni elettroniche. Si tratta di un regolamento specifico del Regno Unito derivato da una legge UE nota come direttiva eprivacy (sono in corso piani per sostituire la direttiva eprivacy con il regolamento ePrivacy). Il PECR rimarrà quindi in vigore e non sarà influenzato dall'uscita del Regno Unito dall'UE.
NIS
La direttiva sulla sicurezza dei sistemi di rete e di informazione(NIS) deriva anch'essa dalla legge dell'UE, ma è stabilita nelle leggi del Regno Unito. Come tale, le regole attuali continueranno ad essere applicate. Tuttavia, se sei un fornitore di servizi digitali con sede nel Regno Unito che offre servizi nell'UE, potresti aver bisogno di nominare un rappresentante in uno degli stati membri dell'UE in cui fornisci servizi.
eIDAS
Il regolamento sull'identificazione elettronica, l'autenticazione e i servizi fiduciari è anche una legge dell'UE, ma non si applica più nel Regno Unito. Tuttavia, il governo britannico ha detto che incorporerà le regole eIDAS nella legge del Regno Unito, quindi se siete un fornitore di servizi fiduciari del Regno Unito, dovrete ancora conformarvi a queste regole. Inoltre, se fornite servizi nell'UE, dovrete anche aderire alle regole eIDAS negli stati membri dell'UE.
FOIA
IlFreedom of Information Act 2000 fa parte della legge britannica e continuerà ad essere applicato.
EIR
Iregolamenti sull'informazione ambientale sono stabiliti dalla legge britannica e quindi continueranno ad essere applicati a meno che non vengano abrogati o modificati.
Quali misure dovrebbero prendere le imprese dopo la Brexit?
Le organizzazioni dovranno effettuare una revisione dettagliata della privacy dei dati per valutare se è necessario apportare dei cambiamenti. Se la vostra azienda ha sede nel Regno Unito e offre beni e servizi prevalentemente a clienti britannici, allora avrete bisogno di fare molto poco. Tuttavia, se si forniscono beni e servizi sia all'UE che al Regno Unito, allora potrebbero essere necessari dei cambiamenti. Per garantire la conformità con la legislazione sulla protezione dei dati, la vostra organizzazione dovrebbe:
- Mappare i flussi di dati per garantire che la vostra azienda possa rispettare sia il GDPR del Regno Unito che il GDPR dell'UE.
- Aggiornare i registri di elaborazione per soddisfare i requisiti del GDPR dell'UE e del Regno Unito.
- Valutare se c'è un'autorità di vigilanza UE che ora si qualificherà come autorità di vigilanza principale (LSA).
- Aggiornare i piani di risposta alla violazione della sicurezza per consentire la possibile notifica all'ICO e all'LSA dell'UE in caso di violazione.
- Considera se la tua azienda ha bisogno di nominare un rappresentante del Regno Unito e/o dell'UE.
- Aggiornare le informative sulla privacy per garantire che dettagliano i flussi di dati e coprono i requisiti rilevanti di entrambe le legislazioni.
- Modificare i contratti e i modelli esistenti per includere i riferimenti appropriati sia al GDPR del Regno Unito che al GDPR dell'UE.
- Considerare se le valutazioni di impatto sulla protezione dei dati e le valutazioni di interesse legittimo dovranno essere aggiornate per conformarsi al GDPR del Regno Unito.
- Garantire l'esistenza di salvaguardie appropriate per i flussi di dati transfrontalieri.
- Valutate se avete bisogno di nominare un responsabile della protezione dei dati del Regno Unito e dell'UE separato.