Il sito Giambrone Law utilizza diversi tipi di cookies per migliorare l'esperienza dei suoi visitatori. Mentre i cosiddetti cookies tecnici risultano fondamentali in quanto parte integrante del sito, ciascun utente è libero di mantenere attivi o meno i cookies di profilazione e/o di terze parti. Consigliamo un’attenta lettura della nostra policy al riguardo cliccando qui. Teniamo alla privacy dei visitatori del nostro sito tanto quanto a quella dei nostri clienti
Regolamento generale sulla protezione dei dati UE-Regno Unito: un riassunto
Alla fine del 2020, è stato completato il processo di uscita del Regno Unito dall’Unione Europea. Questo evento ha avuto conseguenze rilevanti per il quadro giuridico inerente alla protezione dei dati che è ora valido, appunto, nel Regno Unito. Inoltre, l'UE e il Regno Unito hanno stipulato un accordo commerciale (the EU-UK Trade & Co-operation Agreement) che stabilisce degli standard legislativi in materia di protezione dei dati.
I cambiamenti politici portati dalla Brexit hanno, dunque, colpito l'intero sistema. A questo proposito, le seguenti sezioni mirano a sintetizzare le principali implicazioni di questi cambiamenti nel panorama giuridico della protezione dei dati. Ciò è anche particolarmente rilevante anche per le aziende con una filiale nel Regno Unito.
Scenario legale
Il Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR) è la legislazione che regola il diritto di protezione dei dati nel territorio da due anni e mezzo. Quando è entrato in vigore, il GDPR è riuscito a costruire un quadro giuridico armonizzato che disciplina i modi in cui i dati personali vengono raccolti, memorizzati, condivisi e utilizzati. Dal 1° gennaio 2022, il GDPR tradizionale ha cessato di avere effetto diretto nel Regno Unito. Tuttavia, dato l'accordo commerciale, il Regno Unito si è impegnato a mantenere un regime di protezione dei dati equivalente. Per questo motivo, una versione britannica del GDPR è entrata in vigore dal 1° gennaio 2022. Il cosiddetto "UK-GDPR" rispecchia in gran parte l'esistente GDPR dell'UE e si applicherà come una legge a sé stante.
Doppia esposizione normativa
Attualmente, dunque, ci sono due GDPR validi: il GDPR dell'UE e il GDPR del Regno Unito. Questo complesso sistema di regolamenti ha come conseguenza una potenziale doppia esposizione normativa per le aziende che trattano i dati sia nell'UE che nel Regno Unito. In particolare, un'organizzazione che svolge attività di trattamento sia nell'UE che nel Regno Unito, o che si rivolge a clienti o supervisiona individui nell'UE dal Regno Unito e viceversa, sarà soggetta a responsabilità normative sotto entrambe le legislazioni. Di conseguenza, è possibile che tali aziende sperimentino uno standard di conformità più severo.
Per esempio;
- La nomina di un responsabile della protezione dei dati separato per il Regno Unito e l'UE;
- La nomina di un'autorità di controllo principale nell'UE e la registrazione presso l'ICO (Information Commissioner's Office) per le attività di trattamento dei dati che hanno luogo nel Regno Unito;
- La nomina di un rappresentante nell'UE e nel Regno Unito;
- La gestione di un potenziale rischio di doppia esposizione a sanzioni per la stessa infrazione.
Trasferimento di dati tra l'UE e il Regno Unito
Il GDPR del Regno Unito pone delle restrizioni al trasferimento di dati personali a meno che il paese ricevente non benefici di una decisione di adeguamento. Secondo il regolamento di uscita dall'UE, questa decisione copre tutti gli Stati membri dello Spazio economico europeo (SEE). Pertanto, il trattamento dei dati che comporta il trasferimento del personale tra il Regno Unito e gli Stati membri del SEE continuerà.
Accordi sulla protezione dei dati
È essenziale che i contratti riflettano i suddetti cambiamenti. In particolare, i contratti dovranno essere aggiornati in linea con la nuova legislazione GDPR del Regno Unito. Inoltre, le organizzazioni britanniche che trasferiscono i dati nel Regno Unito devono fare riferimento al GDPR britannico, al Data Protection Act 2018 e al Regolamento sulla Privacy e le Comunicazione Elettroniche 2003. Inoltre, il GDPR dell'UE può continuare ad applicarsi alle organizzazioni con sede nel Regno Unito se effettuano operazioni di trattamento dei dati all'interno dell'UE. In queste circostanze, è prevedibile che i regimi di protezione dei dati dell'UE e del Regno Unito si applichino allo stesso contratto
In queste circostanze, è essenziale per le organizzazioni con sede nell'UE e nel Regno Unito valutare la loro conformità con il requisito del GDPR del Regno Unito. A questo proposito, l'adattamento della documentazione è fondamentale per organizzare il trasferimento dei dati con l'UE.
Salvo Fasciana, professore alla Newcastle University
Giambrone & Partners è uno Studio Legale Internazionale con sedi a Londra, Milano, Barcellona, Roma, Gran Canaria, Palermo, Napoli, Porto e Sassari. Per avere maggiori informazioni, non esitate a contattarci qui o, in alternativa, scriveteci all’indirizzo info@giambronelaw.com oppure,contattateci telefonicamente ai seguenti recapiti:
Sede di Milano: +39 02 9475 4184
Sede di Napoli: +39 081 197 58 920
Sede di Palermo: +39 091 743 4778
Sede di Roma: +39 06 326498
Sede di Catania: +39 095 8838870
Sede di Sassari: +39 079 9220012