Il governo britannico vuole riformare le leggi sulla protezione dei dati, eliminando gli oneri amministrativi e contribuendo a promuovere l’innovazione. La sfida è raggiungere questo obiettivo senza causare interruzioni o rischiare relazioni commerciali. Quindi, a che punto è la legge sulla protezione dei dati e delle informazioni digitali (DPDI) sulla strada per diventare legge e quali cambiamenti apporterà alla tua organizzazione?
Disegno di legge sulla protezione dei dati e le informazioni digitali
Cos’è?
Il Data Protection and Digital Information Bill (DPDI) presenta le riforme post-Brexit delle leggi sulla protezione dei dati del Regno Unito.
Il governo sostiene che la nuova legislazione:
- Conservare i migliori elementi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE
- Maggiore flessibilità
- Ridurre i costi di 4,7 miliardi di sterline in 10 anni
- Facilitare il commercio globale
- Sii semplice, chiaro e adatto alle aziende
La sfida per la legislazione è contribuire a sostenere l’innovazione e ridurre gli oneri amministrativi, senza apportare modifiche che: - Violazione dei diritti individuali in materia di dati
- Richiedere alle aziende di creare nuovi sistemi di dati
- Creare ostacoli al commercio con l’UE e altre giurisdizioni internazionali
Quando è stato introdotto?
Il DPDI è stato inizialmente presentato al Parlamento del Regno Unito il 18 luglio 2022. Una seconda lettura del disegno di legge prevista per settembre 2022 è stata messa in pausa dopo le dimissioni di Boris Johnson da primo ministro.
L’8 marzo 2023, una versione rivista della legislazione, nota come DPDI (No 2) Bill è stata presentata dal segretario di Stato Michelle Donelan. È probabile che si proceda a una seconda lettura alla Camera dei Comuni nell’autunno 2023.
Chi colpisce?
DPDI interesserà organizzazioni di tutte le dimensioni e settori, dal più piccolo ente di beneficenza alle grandi aziende. Avrà anche un impatto sulle organizzazioni internazionali che commerciano all’interno del Regno Unito o gestiscono i dati dei cittadini del Regno Unito.
Principali punti salienti del DPDI
Il DPDI potrebbe introdurre:
- Una nuova definizione di dati personali che aiuta a descrivere il livello di anonimato richiesto per mettere un individuo al di là dell’identificazione con “mezzi ragionevoli”
- Una categoria di dati relativi agli interessi legittimi (ad es. reato, salvaguardia) che elimina l’obbligo di effettuare una valutazione dell’interesse legittimo
- Fattori da considerare nel riutilizzo dei dati personali per un nuovo scopo e situazioni specifiche in cui il riutilizzo sarà lecito
- Rendere più facile per le organizzazioni rifiutare le richieste di accesso degli interessati laddove siano vessatorie o eccessive, data l’intera gamma di circostanze
- Chiarire le circostanze in cui l’IA può essere utilizzata per processi decisionali automatizzati senza un significativo coinvolgimento umano
- Sostituzione dei responsabili della protezione dei dati (DPO) con persone responsabili senior (SRI) che devono essere senior manager
- Valutazioni d’impatto sul trattamento dei dati sostituite con valutazioni del trattamento ad alto rischio da effettuare laddove le attività di trattamento dei dati siano identificate come ad alto rischio
- Rimozione dell’obbligo di tenere registri delle attività di trattamento, sostituito dall’obbligo di mantenere registri appropriati
- Un nuovo test di protezione dei dati da applicare alle disposizioni per i meccanismi di trasferimento dei dati personali al di fuori del Regno Unito
- Il Commissario per l’informazione sarà ristrutturato in una commissione per l’informazione, con nuovi poteri di esecuzione e un mandato che include il riconoscimento della necessità di promuovere l’innovazione e la concorrenza
- Procedure di reclamo volte ad aumentare il numero di reclami risolti senza il coinvolgimento della Commissione d’informazione
- Uno scossone della conformità al GDPR per ridurre i pop-up, consentendoli laddove un individuo abbia acconsentito o i dati vengano utilizzati per scopi specifici come il miglioramento del sito Web
GDPR vs DPDI
DPDI non è un sostituto all’ingrosso della legislazione sulla protezione dei dati GDPR. Invece, modifica la legislazione esistente (Data Protection Act 2018 e GDPR del Regno Unito), quindi ci sarà molto lavoro per gli avvocati che fanno riferimento incrociato a diversi atti legislativi.
Quando la legislazione sarà finalizzata, l’UE applicherà un test di adeguatezza per determinare se il nuovo regime di protezione dei dati del Regno Unito fornisce un’adeguata protezione dei dati, consentendo ai flussi di dati di continuare tra l’UE e il Regno Unito.
DPDI: Disegno di legge n.1 vs Disegno di legge n.2
Quali sono le modifiche apportate al DPDI (No 1) pubblicato nel luglio 2022, e DPDI (n. 2) nel marzo 2023?
DPDI (n. 1)
Finalità
della ricercaChiarimento di come i dati personali possono essere utilizzati per scopi di ricerca, statistici e storici, assistendo gli scienziati nell’utilizzo dei dati personali per il bene pubblico
Interesse
legittimoModifiche all’ambito dell’interesse legittimo (laddove i dati personali possano essere utilizzati da un responsabile del trattamento dei dati o da terzi, a condizione che non vengano violati i diritti e le libertà individuali)
Introduce “interessi legittimi riconosciuti” che non richiedono una valutazione degli interessi legittimi
Registrazioni del trattamento
Obblighi ridotti ed esenzione per le organizzazioni con meno di 250 dipendenti in cui il trattamento non è ad alto rischio. Livello di rischio da determinare esaminando la natura, l’ambito, il contesto e le finalità del trattamento dei dati
Trasferimenti
internazionali di datiTest di protezione dei dati per valutare la protezione fornita dalle norme del paese destinatario durante il trasferimento dei dati
Biscotti
L’uso dei cookie è consentito senza ottenere il consenso per scopi definiti come la valutazione di come viene utilizzato un sito web.
Processo
decisionale automatizzatoChiarimento sul fatto che un coinvolgimento umano significativo deve essere giudicato tenendo conto di quanto ampiamente la profilazione viene utilizzata nel prendere una decisione
DPDI (n. 2)
Finalità
della ricercaAggiunta di “scopi di ricerca scientifica” che includano l’uso commerciale e non commerciale e ampliamento della definizione di “ricerca scientifica”
Interesse
legittimoAggiunta di esempi di dati di interessi legittimi, come marketing diretto e sicurezza IT
Registrazioni del trattamento
Rimozione del riferimento al numero di dipendenti, ora il requisito è quello di valutare se il trattamento è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche
Trasferimenti
internazionali di datiChiarimento sul fatto che i meccanismi di trasferimento dei dati personali stabiliti prima dell’entrata in vigore della legge saranno validi
Biscotti
Nessuna ulteriore modifica
Processo
decisionale automatizzatoLa definizione di processo decisionale automatizzato è quando non vi è alcun coinvolgimento umano significativo in una decisione
Sei pronto per DPDI?
Nei prossimi anni è in arrivo un cambiamento nella legislazione sulla protezione dei dati del Regno Unito. Ciò include la riforma delle regole che regolano i cookie sul tuo sito. Assicurati che la tua politica sui cookie sia conforme alla legge e ottieni una panoramica della tua raccolta di dati utilizzando il nostro strumento di scansione dei cookie sul tuo sito.
Se hai bisogno di aiuto per assicurarti di essere conforme e sfruttare al meglio le nuove regole, CookieHub può aiutarti.
Iscriviti oggi per una prova gratuita.