GDPR e Brexit – Le conseguenze sulla protezione dei dati per le aziende

Aggiornamenti

A seguito di una consultazione pubblica, il Regno Unito ha rilasciato i dettagli della proposta della Data Reform Bill, che modificherà la versione britannica del GDPR emanata dopo la Brexit. Scopri di più riguardo la proposta di legge qui.

La Commissione Europea ha permesso il trasferimento dei dati dall’UE al Regno Unito, ma l’accordo sarà soggetto a revisione tra quattro anni..

Dopo che l’European Data Protection Board (EDPB) ha adottato un’Opinione sulla bozza di Decisione d’Adeguatezza per il Regno Unito redatta dalla Commissione e approvata dai rappresentanti degli stati membri, entrambe le Decisioni sono entrate in vigore il 28 giugno 2021.

La decisione ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) e la decisione ai sensi della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED) permettono entrambe il trasferimento di dati dall’UE al Regno Unito, visto che, al momento, il Regno Unito offre un livello di protezione dei dati pressoché equivalente a quello UE.

Tuttavia, in via eccezionale, entrambe le decisione sono state anche soggette a una clausola di decadenza, quindi dovranno essere rinnovate tra quattro anni.

Ad esempio, l’EDPB ha sottolineato alcune possibili divergenze che sarà necessario valutare prima dell’accordo finale:

L’esenzione per l’immigrazione e le sue conseguenze sulle restrizioni sui diritti dei soggetti interessati;
L’applicazione delle restrizioni ai trasferimenti di dati personali dall’Area Economica Europea verso il Regno Unito, sulla base di possibili future decisioni d’adeguatezza adottate dal Regno Unito, accordi internazionali tra il Regno Unito e paesi terzi, o deroghe.

=> Prossimi passi: monitorare qualsiasi futura divergenza tra la legge UE e quella del Regno Unito, che potrebbero costituire un ostacolo per le prossime decisioni, previste tra quattro anni.

Leggi il testo completo qui.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è diventato pienamente applicabile nel maggio 2018, rafforzando la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, e imponendo nuovi obblighi alle organizzazioni che trattano dati personali (scopri di più sul GDPR e su quando si applica).

Con tutti i cambiamenti previsti a seguito dell’uscita del Regno Unito dall’Unione europea, potresti chiederti quali conseguenze comporta la Brexit in ottica GDPR per le aziende con sede nel Regno Unito e nell’UE. Rispondiamo a questa ed altre domande a seguire.

GDPR dopo la Brexit, cambia qualcosa?

Finché non verrà approvata una nuova legge sulla protezione dei dati, il GDPR (una normativa vigente nel Regno Unito fino all’entrata in vigore della Brexit il 31 dicembre 2020) è per la maggior parte ancora applicabile nel Regno Unito come “GDPR UK”.

In qualità di azienda con sede nel Regno Unito, cosa dovrei sapere?

Trasferimento di dati personali verso l’UE e altri territori
Secondo l’attuale GDPR UK, i trasferimenti di dati personali dal Regno Unito verso altri paesi seguono gli stessi principi del GDPR. In particolare:

se il governo inglese ha emesso una regolamentazione sul livello di adeguatezza per il tuo territorio di destinazione, puoi trasferire i dati senza dover soddisfare ulteriori requisiti. Al momento questo è il caso di tutti gli stati dell’UE e del SEE (Spazio Economico Europeo), dei paesi coperti da una decisione di adeguatezza dell’UE (ad esempio Argentina, Svizzera e Nuova Zelanda) e, a determinate condizioni, del Giappone e del Canada.
Diversamente, un’azienda con sede nel Regno Unito che desidera trasferire dati personali all’estero dovrà fare affidamento sulle stesse alternative offerte dal GDPR, come le clausole contrattuali standard (SCC), o altre “garanzie adeguate” ed “eccezioni”. A questo proposito, l’autorità inglese per la protezione dei dati (ICO) ha dichiarato che le clausole contrattuali standard europee stipulate prima della fine del periodo di transizione continueranno ad essere valide, e che pertanto si possono continuare a usare anche per nuovi trasferimenti di dati. Le versioni inglesi delle SCC europee pubblicate dall’ICO sono a disposizione delle aziende.

💡 Gli utenti del Regno Unito possono continuare a usare iubenda come responsabile del trattamento che trasferisce dati personali verso l’UE.

Rappresentante della protezione dei dati
Alle entità che trattano dati di persone nell’UE, il GDPR (art. 27) chiede di nominare un rappresentante nell’UE. Durante il periodo di transizione, questo requisito non si applica alle entità inglesi.

Tuttavia, alla fine del periodo di transizione, le aziende inglesi che trattano dati di persone fisiche nell’UE dovranno molto probabilmente nominare un rappresentante nell’UE.

Che conseguenze ha la Brexit sulle aziende con sede nell’UE/SEE?

Trasferimento di dati personali verso il Regno Unito
L’accordo sulla Brexit siglato da UE e Regno Unito nel dicembre 2020 prevede un periodo di transizione di 4 mesi. La scadenza è prevista per il 30 aprile 2021, ma potrebbe essere prorogata di altri 2 mesi. Durante questo periodo, il Regno Unito non sarà considerato un “paese terzo all’UE“.

Fino ad allora, nulla cambia per le imprese UE/SEE che trasferiscono dati personali nel Regno Unito.

Una volta terminato il periodo di transizione (quindi non prima del 30 aprile), i trasferimenti di dati personali verso il Regno Unito dovranno avvenire secondo i principi generali del GDPR, cioè:

se la Commissione europea emetterà una decisione di adeguatezza per il Regno Unito, i trasferimenti di dati potranno avvenire senza requisiti aggiuntivi;
in caso contrario, i trasferimenti di dati personali dagli stati dell’UE/SEE verso il Regno Unito dovranno fare affidamento sulle clausole contrattuali standard approvate dalla Commissione europea, o su altre “garanzie adeguate” o “eccezioni” stabilite dal GDPR.

Rappresentante della protezione dei dati
A partire da questo momento, il “GDPR UK” richiede alle entità che trattano dati di persone fisiche nel Regno Unito di nominare un rappresentante nel Regno Unito. Durante il periodo di transizione, questo requisito non si applica ancora alle entità con sede nell’UE o nel SEE.

Terminato il periodo di transizione, le imprese UE/SEE che trattano i dati di persone fisiche nel Regno Unito dovranno molto probabilmente nominare un rappresentante nel Regno Unito.

Per saperne di più

Sul sito dell’ICO puoi scoprire tutti i cambiamenti che le aziende con sede nel Regno Unito dovranno affrontare una volta scaduto il periodo di transizione.

Adeguati al GDPR in pochi minuti

Chi siamo

Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.

Documentazione