Per le aziende
Digital Signatures Client Access Portals Practice Manager Client Onboarding Servizi di vendita: preventivi e proposte ID Verification Services
Per privati
E‑Sign e archiviazione
Per funzione
Vendite Operazioni Conformità Risorse umane
Vendere servizi professionali Automate Client Onboarding Gestione dei documenti cloud senza carta Deal Rooms for Mergers & Acquisitions Gestione della pratica Accelerare l'inserimento dei dipendenti beta
Panoramica dell'applicazione Supporto tecnico Novità Base di conoscenza
Integrazioni
See All Integrations Office365 Zoho CRM Xero
Blog Prezzi
Accedi
🇬🇧UK 🇺🇸US 🇵🇱PL 🇺🇦UA 🇪🇸ES 🇩🇪DE 🇫🇷FR 🇳🇱NL 🇵🇹PT 🇮🇹IT
Inizia la prova gratuita

Protezione dei dati dopo la Brexit: cosa succede adesso?

MyDocSafe Team

La protezione dei dati dopo la Brexit è un argomento complesso e in continua evoluzione, che non rappresenta una buona notizia per le aziende del Regno Unito. Le PMI saranno probabilmente le più colpite, insieme alle aziende più grandi.

Il problema principale è che la protezione dei dati non è trattata in modo approfondito nell'Accordo commerciale, sebbene includa un meccanismo di "ponte temporaneo" per il libero flusso di dati personali dall'UE/SEE al Regno Unito. Sappiamo che il governo del Regno Unito sta attualmente definendo la propria strategia e ha segnalato che i dati dovrebbero essere trattati come un'opportunità piuttosto che come una minaccia, un approccio più vicino a quello americano che a quello dell'UE. Con il passare del tempo, è probabile che il modello di protezione dei dati del Regno Unito cambi e possa divergere da quello dell'UE. Attualmente si applicano diversi regimi:

  • Regime GDPR del Regno Unito: si tratta della nuova versione personalizzata del GDPR del Regno Unito, basata sul GDPR dell'UE.
  • Regime GDPR UE: questo è il GDPR originale che si applica a tutti i 27 stati membri dell'Unione Europea e anche a Norvegia, Islanda e Liechtenstein
  • Lacuna di adeguatezza o regime GDPR legacy: ciò non si applicherà se il Regno Unito riceverà una decisione definitiva di adeguatezza dall'UE.

    • La Commissione Europea ha elaborato una bozza di decisione che afferma che il GDPR del Regno Unito e il DPA 2018 garantiscono un livello di protezione dei dati personali trasferiti dall'UE/SEE sostanzialmente equivalente a quello garantito dal GDPR dell'UE. La decisione necessita di ulteriore approvazione e fattori politici e rischi potrebbero ritardarne la ratifica.

Invio di dati all'estero:

  • Le norme vincolanti d'impresa (BCR) restano il gold standard
    • Le BCR sono progettate per consentire alle aziende multinazionali di trasferire dati personali dallo SEE alle società del loro gruppo situate al di fuori dello SEE (incluso il Regno Unito dal 31 dicembre 2020)
  • Le clausole contrattuali standard (SCC) sono termini modello approvati che garantiscono il rispetto degli standard GDPR (a condizione che i termini nelle SCC siano rispettati)

    • L'ICO intende pubblicare nuove CSC del Regno Unito nel 2021. Ha prodotto una versione modificata delle CSC UE esistenti per adattarle al contesto britannico. A un certo punto, le CSC UE potrebbero non essere più valide per i trasferimenti dal Regno Unito.

    • Sono attualmente in fase di consultazione e, una volta approvate, è previsto un periodo di transizione di un anno per il loro utilizzo. È probabile che siano valide nei paesi in cui si applica il GDPR dell'UE. Resta da vedere se il Regno Unito le approverà, ma in caso contrario non saranno valide per i trasferimenti al di fuori del Regno Unito ai sensi del GDPR britannico.

  • Altre eccezioni alla regola (vedere diapositive e registrazione sotto).

E i responsabili della protezione dei dati (RPD)?

  • Se attualmente sei tenuto ad avere un DPO, tale obbligo continuerà, sia ai sensi del GDPR del Regno Unito che del GDPR dell'UE. Puoi continuare ad avere un DPO che copra il Regno Unito e lo Spazio Economico Europeo. Il DPO può continuare a risiedere nel Regno Unito.
  • Tuttavia, sia il GDPR del Regno Unito che quello dell'UE richiederanno che il tuo DPO sia facilmente raggiungibile da ogni sede nello SEE e nel Regno Unito e che abbia una conoscenza approfondita di entrambi i regimi.

Cosa dovresti fare adesso?

  • Il primo passo più importante è comprendere i flussi di dati e le sedi coinvolte (è necessario distinguere l'elaborazione nel Regno Unito da quella nell'UE. Dare priorità ai flussi contenenti grandi volumi, dati di categorie speciali o dati relativi a condanne e reati penali, trasferimenti critici per l'azienda e quelli che coinvolgono aree chiave ad alto rischio come gli Stati Uniti). MyDocSafe ha creato uno strumento GDPR per la registrazione e la mappatura di tali flussi di dati che funge sia da piattaforma di audit che di gestione della privacy. Attualmente è disponibile solo per i nuovi clienti aziendali, quindi contattaci per saperne di più.
  • Una volta acquisita la conoscenza dei flussi di dati, dovrai decidere se intraprendere ulteriori azioni, ad esempio:
    • Richiedere una consulenza legale per aggiornare le BCR, le SCC, le informative sulla privacy e gli accordi sul trattamento dei dati e come tenere traccia delle modifiche legislative
    • Nominare rappresentanti dell'UE, del Regno Unito e dei nuovi Stati indipendenti?
    • Definisci l'autorità di vigilanza principale appropriata
    • Assicuratevi che il vostro DPO sia facilmente raggiungibile da qualsiasi sede nel Regno Unito e nello Spazio economico europeo e che abbia esperienza in tutti i regimi.

Il nostro verdetto

Riteniamo che l'attuale regime giuridico non sia favorevole alle PMI del Regno Unito, che probabilmente avranno difficoltà a conformarsi o potrebbero semplicemente ignorare l'intera materia. Chi opera nel Regno Unito probabilmente ritiene che, per questo motivo, non debba preoccuparsi troppo, purché conservi i dati nel Regno Unito. Ma la maggior parte di loro non sa nemmeno se sia davvero così. Quando il GDPR è stato introdotto per la prima volta, c'era poco entusiasmo nel lavorare per scoprirlo. Abbiamo raccolto alcune prove aneddotiche che suggeriscono che pochi hanno eseguito l'esercizio di mappatura dei dati e pochissimi hanno utilizzato strumenti software adeguati per farlo. Questo è uno dei motivi per cui il nostro strumento GDPR Dashboard, creato appositamente per questo scopo e che abbiamo distribuito gratuitamente all'epoca, non sarà più disponibile per i nuovi clienti PMI.

Tags

Gestione sicura dei documenti
← Torna al blog
We use cookies to enhance your browsing experience and analyze site traffic. By clicking "Accept", you consent to our use of cookies. Privacy Policy