Quando il GDPR è entrato in vigore nel maggio 2018, il Regno Unito (UK) era ancora uno Stato membro dell’UE. Sebbene i negoziati per l’uscita del Regno Unito dall’UE (Brexit) fossero in corso dal referendum del 2016, il Regno Unito è rimasto obbligato a rispettare il GDPR.
Tuttavia, dopo il periodo di transizione, il Regno Unito ha cessato di essere uno Stato membro dell’UE il 31 dicembre 2020.
Ciò ha sollevato una notevole confusione sul fatto che le organizzazioni del Regno Unito debbano ancora conformarsi al GDPR. E anche, cosa sostituisce il GDPR nella legislazione del Regno Unito.
Per chiarire ogni confusione residua, in questo articolo spiegheremo in che modo il GDPR si riferisce ora al Regno Unito. Discuteremo anche lo stato attuale della legislazione sulla protezione dei dati del Regno Unito.
Il GDPR si applica al Regno Unito?
Dal 1° gennaio 2021, il GDPR dell’UE non si applica più pienamente nel Regno Unito. Tuttavia, il Regno Unito, come tutti i paesi non appartenenti all’UE, è ancora vincolato dagli effetti extraterritoriali del GDPR.
Due effetti extraterritoriali primari hanno un impatto sulle organizzazioni non UE:
- Quando si vendono beni e servizi ai cittadini dell’UE. In questo caso, la raccolta dei dati personali è ancora regolamentata e deve essere conforme al GDPR. Ciò significa seguire i sette principi fondamentali e garantire che il consenso sia dato attivamente.
- Il monitoraggio dell’attività dell’utente è coperto, ad esempio, dalla raccolta di cookie. In questo caso, tutti i dati raccolti per monitorare un cittadino dell’UE devono seguire il GDPR.
Il mancato rispetto del GDPR alla lettera comporterà una multa di 20 milioni di euro o del 4% del fatturato globale annuo, a seconda di quale sia il più alto. Per le organizzazioni del Regno Unito, è più probabile che ciò sia punibile in tribunale, data la recente stretta aderenza alla legislazione dell’UE.
Questo non si applica alle organizzazioni del Regno Unito che non si rivolgono ai cittadini dell’UE, ad esempio un ristorante locale. Inoltre, non si applica alle comunicazioni personali o familiari.
Cosa ha sostituito il GDPR dell’UE?
In preparazione della Brexit, il governo britannico ha trasferito gran parte della legislazione dell’UE nel diritto britannico. Ciò include il GDPR dell’UE. Già nel 2018, il Data Protection Act (DPA) ha recepito i requisiti del GDPR dell’UE nella legge del Regno Unito. Tuttavia, ulteriori modifiche al DPA (2018) sono state apportate con il DPPEC (Protezione dei dati e delle comunicazioni elettroniche (modifiche, ecc.) (Uscita dall’UE) nel 2019. Questa legislazione ha fuso il DPA (2018) con il GDPR dell’UE per creare un nuovo regime di protezione dei dati specifico per il Regno Unito.
Questo è noto come GDPR del Regno Unito.
Che cos'è il GDPR del Regno Unito?
Il GDPR del Regno Unito è un atto legislativo separato, distinto dal GDPR dell’UE. Tuttavia, il GDPR del Regno Unito condivide molti degli stessi principi, diritti e obblighi chiave a causa della sua storia. Come il GDPR dell’UE, il GDPR del Regno Unito ha due principi chiave:
- Le organizzazioni che raccolgono i dati personali dei cittadini del Regno Unito devono garantire che ciò avvenga in modo limitato e sicuro. Ciò riduce la raccolta di massa dei dati e previene la probabilità di violazioni dei dati.
- I cittadini del Regno Unito hanno il diritto di acconsentire alla raccolta dei propri dati e possono revocare il proprio consenso in un secondo momento. Devono essere adeguatamente informati su come vengono utilizzati i loro dati prima di poter prendere una decisione.
Il GDPR del Regno Unito ha implicazioni anche per le organizzazioni non britanniche. Come il GDPR dell’UE, il GDPR del Regno Unito esercita un “effetto extraterritoriale”. Ciò significa che le organizzazioni situate al di fuori del Regno Unito devono seguire il GDPR del Regno Unito nelle seguenti circostanze:
– Se commercializzano beni o servizi a cittadini residenti nel Regno Unito (a pagamento o gratuitamente).
– Se monitorano il comportamento online dei cittadini del Regno Unito quando accedono al loro sito web.
In entrambi i casi, i dati personali dei cittadini del Regno Unito sono soggetti a una legislazione rigorosa. Pertanto, le aziende sia nel Regno Unito che nell’UE devono rispettare sia il GDPR del Regno Unito che quello dell’UE, anche se entrambi sono regolamentati separatamente.
Ancora una volta, come per il GDPR dell’UE, ci sono alcune eccezioni degne di nota. Il GDPR del Regno Unito non disciplina le comunicazioni personali o le aziende che non si rivolgono ai cittadini del Regno Unito. Ad esempio, una libreria locale a Praga, in Repubblica Ceca.
Cosa succede se non si rispetta il GDPR del Regno Unito?
Il mancato rispetto del GDPR del Regno Unito comporta anche multe: 17,5 milioni di sterline o il 4% del fatturato globale annuo, a seconda di quale sia il più alto. Questo non è l’elenco completo delle possibili attività di esecuzione. L’Information Commissioner’s Office (ICO) del Regno Unito si riserva inoltre il diritto di far rispettare le violazioni del GDPR del Regno Unito con altri mezzi, tra cui:
– Emissione di avvertimenti e rimproveri
– Divieto temporaneo o permanente del trattamento dei dati
– Ordinare la rettifica, la limitazione o la cancellazione dei dati
– Sospensione dei trasferimenti di dati verso paesi terzi
Anche il GDPR del Regno Unito classifica i reati ed emette diversi livelli di sanzioni. Ci sono due livelli di penalità:
- Livello inferiore. Multe fino a 8,7 milioni o il 2% del fatturato globale annuo. Emesso per le seguenti infrazioni agli articoli:
un. Articolo 8: Condizioni per il consenso dei minori
b. Articolo 11: Trattamento che non richiede l’identificazione
c. Articoli da 25 a 39: Obblighi generali dei responsabili del trattamento e dei titolari del trattamento
d. Articolo 42: Certificazione
e. Articolo 43: Organismi di certificazione - Livello superiore. Multe fino a 17,5 milioni di sterline o al 4% del fatturato globale annuo. Problemi per le seguenti violazioni degli articoli:
un. Articolo 5: Principi di trattamento dei dati
b. Articolo 6: Liceità del trattamento
c. Articolo 7: Condizioni per l’approvazione
d. Articolo 9: Trattamento di categorie particolari di dati
e. Articoli da 12 a 22: Diritti degli interessati
f. Articoli da 44 a 49: Trasferimenti di dati verso paesi terzi o organizzazioni internazionali
Conclusione
Ricapitolando: in preparazione alla Brexit, il governo britannico ha trasferito e consolidato la legislazione esistente nel GDPR del Regno Unito. Questo regolamento rispecchia il GDPR dell’UE in molti modi. Richiede alle organizzazioni non britanniche di seguire la legge quando raccolgono e utilizzano i dati dei cittadini del Regno Unito.
Pertanto, le aziende devono familiarizzare con la legislazione e i suoi requisiti.
Fonti:
https://www.itgovernance.co.uk/dpa-and-gdpr-penalties
https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/
https://article27representative.eu/brexit/brexit-and-the-gdpr/
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
https://www.legislation.gov.uk/uksi/2019/419/introduction/made
https://www.gdpr.associates/gdpr-brexit/