Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Razmik Vardanian
23 Ago 2023

L’evoluzione del cosiddetto UK-GDPR 7 anni dopo la Brexit: novità e rischi

Privacy​

Dopo la Brexit e l’emanazione del cosiddetto UK-GDPR, il Regno Unito si appresta a compiere un ulteriore passo per la delineazione di una legislazione della data protection indipendente dal GDPR dell’UE.

Lo scorso 8 marzo 2023, infatti, il Governo inglese ha presentato il Data Protection and Digital Information Bill (DPDI-2), un nuovo disegno di legge concernente la protezione dei dati personali e l’informazione digitale. Lo scopo dichiarato del DPDI è quello di eliminare gli adempimenti sostanziali e documentali previsti per le imprese, prevedendo che le risorse risparmiate per ottemperare a tali oneri superflui forniranno all’economia inglese circa £ 4.7 milioni nei prossimi 10 anni.

Il nuovo progetto di legge dovrebbe:

  1. Sviluppare un contesto normativo semplice, chiaro e favorevole alle imprese, eliminando gli adempimenti difficoltosi o costosi, garantendo maggiore flessibilità nell’adempimento degli obblighi del UK-GDPR à emerge la volontà di adottare un risk based approach ‘puro’, che parametri gli adempimenti ai concreti rischi sussistenti per gli interessati.
  2. Garantire che il sistema inglese mantenga l’adeguatezza con il sistema del UE-GDPR e, al tempo stesso, assicuri maggiore fiducia per i trasferimenti internazionali di dati nel Regno Unito à si intende mantenere sempre il principio di accountability e le altre garanzie previste dal UE-GDPR.
  3. Aggiornare la base giuridica del legittimo interesse, affermando esplicitamente che le operazioni di trattamento, sulla base del legittimo interesse del data controller, potranno includere: marketing diretto, trasmissioni infragruppo necessarie per la direzione interna; o il trattamento necessario per la sicurezza della rete e dei sistemi informativi. Inoltre, vi sarà una nuova base giuridica per ‘interessi legittimi riconosciuti’ per alcuni importanti interessi pubblici.
  4. Ridurre ulteriormente gli oneri documentali che le organizzazioni devono sopportare per dimostrare la propria compliance e supportare il commercio internazionale senza creare oneri aggiuntivi per queste ultime à in questi termini potrebbe essere incentivato il ricorso a codici di condotta o schemi di certificazione.
  5. Incrementare la fiducia del pubblico e delle imprese sull’IA, chiarificando le garanzie necessarie rispetto alle decisioni automatizzate à in particolare, gli interessati saranno informati quando vengono prese queste decisioni e avranno la possibilità di richiedere una revisione umana delle stesse.

Oltre questi cambiamenti, il DPDI andrà ad aumentare le sanzioni per il ‘telemarketing selvaggio’ sino al 4% del fatturato globale o £ 17.5 milioni, a seconda dell’importo più alto, e avrà l’obiettivo di ridurre il numero dei pop-ups che gli utenti vendono in rete per esprimere il consenso al trattamento dei propri dati.

Al fine di incoraggiare la ricerca scientifica nel settore privato, il DPDI andrà ad aggiornare la definizione di trattamento di dati personali per finalità di ricerca scientifica, ricomprendendovi ogni trattamento che potrebbe essere ragionevolmente descritto come scientifico e che potrebbe includere, ad esempio, le attività di ricerca nello sviluppo di tecnologie innovative (quali proprio l’IA). Ciò permetterà ai ricercatori del settore privato di godere delle medesime prerogative dei ricercatori universitari, quale il riutilizzo dei dati a fini di ricerca.

Infine, in tema di trasferimento transfrontaliero di dati personali, gli USA e il Regno unito hanno raggiunto un primo accordo per estendere a quest’ultimo lo EU-USA Data Privacy Framework. In questo modo, si andrà a creare un nuovo ‘ponte’ per il trasferimento dei dati fra i due paesi, permettendo:

  • Alle imprese USA, aderenti al DPF, di ricevere i dati personali dei cittadini inglesi;
  • Alle imprese UK di non dover più stipulare clausole contrattuali per assicurare che sia mantenuto uno standard adeguato alla protezione dei dati personali, riducendo i costi dei trattamenti per le imprese britanniche e rendendo più facile il commercio internazionale.

Sullo sfondo, però, rimane problematica la questione del trasferimento di dati personali UE-USA. Infatti, la possibile adesione del Regno Unito al DPF, contestualmente alle future semplificazioni introdotte nel UK-GDPR, potrebbero avere ripercussioni sul trasferimento di dati personali UK-UE, il quale, anch’esso, si basa sempre su una decisione di adeguatezza della Commissione. La Commissione Europea potrà terminare, sospendere, emendare o, eventualmente, non rinnovare ulteriormente la propria decisione di adeguatezza (data la scadenza di quest’ultima nel giugno 2025) ove ritenga che il Regno Unito non garantisca più un livello adeguato di protezione ai sensi dell’art. 45 GDPR. Tuttavia, non è questa l’intenzione del Governo inglese, il quale, nel DPDI, ha assegnato con determinazione priorità proprio al mantenimento della decisione di adeguatezza.

Quali novità ci attenderanno e come saranno influenzati gli scambi di dati tra i Paesi dell’Unione e UK post- Brexit? Solo il futuro potrà dirlo. Infatti, potrebbe passare forse più di un anno prima che il DPDI diventi legge. Perciò, per restare aggiornato sul tema iscriviti alla newsletter per essere sempre pronto alle prossime novità legislative in tema di data protection.