A seguito di una consultazione pubblica, il Regno Unito ha rilasciato i dettagli della proposta della Data Reform Bill, che modificherà la versione britannica del GDPR emanata dopo la Brexit. Scopri di più riguardo la proposta di legge qui.
La Commissione Europea ha permesso il trasferimento dei dati dall’UE al Regno Unito, ma l’accordo sarà soggetto a revisione tra quattro anni..
Dopo che l’European Data Protection Board (EDPB) ha adottato un’Opinione sulla bozza di Decisione d’Adeguatezza per il Regno Unito redatta dalla Commissione e approvata dai rappresentanti degli stati membri, entrambe le Decisioni sono entrate in vigore il 28 giugno 2021.
La decisione ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) e la decisione ai sensi della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED) permettono entrambe il trasferimento di dati dall’UE al Regno Unito, visto che, al momento, il Regno Unito offre un livello di protezione dei dati pressoché equivalente a quello UE.
Tuttavia, in via eccezionale, entrambe le decisione sono state anche soggette a una clausola di decadenza, quindi dovranno essere rinnovate tra quattro anni.
Ad esempio, l’EDPB ha sottolineato alcune possibili divergenze che sarà necessario valutare prima dell’accordo finale:
=> Prossimi passi: monitorare qualsiasi futura divergenza tra la legge UE e quella del Regno Unito, che potrebbero costituire un ostacolo per le prossime decisioni, previste tra quattro anni.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) è diventato pienamente applicabile nel maggio 2018, rafforzando la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, e imponendo nuovi obblighi alle organizzazioni che trattano dati personali (scopri di più sul GDPR e su quando si applica).
Con tutti i cambiamenti previsti a seguito dell’uscita del Regno Unito dall’Unione europea, potresti chiederti quali conseguenze comporta la Brexit in ottica GDPR per le aziende con sede nel Regno Unito e nell’UE. Rispondiamo a questa ed altre domande a seguire.
Finché non verrà approvata una nuova legge sulla protezione dei dati, il GDPR (una normativa vigente nel Regno Unito fino all’entrata in vigore della Brexit il 31 dicembre 2020) è per la maggior parte ancora applicabile nel Regno Unito come “GDPR UK”.
Trasferimento di dati personali verso l’UE e altri territori
Secondo l’attuale GDPR UK, i trasferimenti di dati personali dal Regno Unito verso altri paesi seguono gli stessi principi del GDPR. In particolare:
💡 Gli utenti del Regno Unito possono continuare a usare iubenda come responsabile del trattamento che trasferisce dati personali verso l’UE.
Rappresentante della protezione dei dati
Alle entità che trattano dati di persone nell’UE, il GDPR (art. 27) chiede di nominare un rappresentante nell’UE. Durante il periodo di transizione, questo requisito non si applica alle entità inglesi.
Tuttavia, alla fine del periodo di transizione, le aziende inglesi che trattano dati di persone fisiche nell’UE dovranno molto probabilmente nominare un rappresentante nell’UE.
Trasferimento di dati personali verso il Regno Unito
L’accordo sulla Brexit siglato da UE e Regno Unito nel dicembre 2020 prevede un periodo di transizione di 4 mesi. La scadenza è prevista per il 30 aprile 2021, ma potrebbe essere prorogata di altri 2 mesi. Durante questo periodo, il Regno Unito non sarà considerato un “paese terzo all’UE“.
Fino ad allora, nulla cambia per le imprese UE/SEE che trasferiscono dati personali nel Regno Unito.
Una volta terminato il periodo di transizione (quindi non prima del 30 aprile), i trasferimenti di dati personali verso il Regno Unito dovranno avvenire secondo i principi generali del GDPR, cioè:
Rappresentante della protezione dei dati
A partire da questo momento, il “GDPR UK” richiede alle entità che trattano dati di persone fisiche nel Regno Unito di nominare un rappresentante nel Regno Unito. Durante il periodo di transizione, questo requisito non si applica ancora alle entità con sede nell’UE o nel SEE.
Terminato il periodo di transizione, le imprese UE/SEE che trattano i dati di persone fisiche nel Regno Unito dovranno molto probabilmente nominare un rappresentante nel Regno Unito.
Sul sito dell’ICO puoi scoprire tutti i cambiamenti che le aziende con sede nel Regno Unito dovranno affrontare una volta scaduto il periodo di transizione.
Soluzioni pensate da un team di avvocati per adeguare i tuoi siti web e le tue app alle normative di più Paesi e legislazioni.