GDPR e Brexit: la tua azienda è preparata?
Nel caso in cui il Regno Unito lasci l'UE il 29 marzo 2019 senza un accordo, le imprese britanniche dovranno assicurarsi di continuare a essere conformi alla legge sulla protezione dei dati. Per le aziende britanniche che operano a livello internazionale o scambiano dati personali con partner in altri paesi, potrebbero essere necessarie modifiche prima dell'uscita del Regno Unito dall'UE per garantire il minimo rischio di interruzione.
È importante che le aziende esaminino se sarebbero interessate. Per coloro che sarebbero interessati, si consiglia un'azione tempestiva poiché le modifiche potrebbero richiedere del tempo per essere implementate.
Come attualmente i dati personali si spostano oltre confine:
- I dati personali sono protetti dal GDPR (General Data Protection Regulation). Ciò conferisce alle persone i diritti sui propri dati: sapere chi li ha, correggerli, cancellarli, spostarli ecc.
- Il GDPR afferma che i dati possono essere spostati oltre confine solo se esistono protezioni equivalenti nel paese in cui i dati stanno andando
Attualmente i dati personali possono attraversare le frontiere come segue:
- Dove rimane nell'UE (perché tutti i paesi dell'UE devono applicare il GDPR)
- Inoltre, Stati SEE: Norvegia, Islanda, Lichtenstein e altri territori del Regno Unito come Gibilterra
- Paesi in cui la Commissione UE ha stabilito che esistono protezioni adeguate: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d'America (limitatamente a il quadro dello scudo per la privacy) in quanto fornisce una protezione adeguata
- Se nessuna delle precedenti condizioni si applica, ad esempio quando i dati personali vengono inviati in India o in Australia, i dati possono essere inviati solo in presenza di "clausole contrattuali standard" (SCC) o "regole aziendali vincolanti" (BCR)
- SCC e BCR estendono essenzialmente i diritti GDPR ai dati trasferiti in una giurisdizione di un paese terzo
- Nota: SCC copre solo alcuni rapporti di trasferimento di dati e BCR copre solo il trasferimento di dati all'interno di una singola azienda
Quali dati personali attraversano i confini?
Molti dati personali attraversano i confini ogni giorno. Quando si parla con un call center in un altro paese o si acquistano beni o servizi online, i dati personali si sono spesso spostati in un'altra giurisdizione.
Molti servizi sono esternalizzati a livello internazionale e possono comportare il trattamento dei dati personali:
- Servizio Clienti
- Fatturazione e conti attivi e passivi
- Libro paga
Molti servizi business-to-business operano nel cloud e questo potrebbe operare oltre confine. Per esempio:
- Google non ha un data center nel Regno Unito, con molti dati del Regno Unito probabilmente conservati a Dublino
- Facebook non ha un data center nel Regno Unito, con molti dati del Regno Unito probabilmente conservati a Dublino
- Amazon Web Services ha un data center nel Regno Unito, ma questo è relativamente nuovo e molto sarà Dublino, Francoforte e Lussemburgo
- Microsoft dispone di data center nel Regno Unito tra oltre 100 in tutto il mondo
Alcuni settori, per loro stessa natura, coinvolgono dati transfrontalieri. Per esempio:
- Settore finanziario: pagamenti internazionali, ecc.
- Scienze della vita: la natura globale della ricerca medica
- Trasporti – dati sui passeggeri
Cosa devono fare le aziende?
Hanno bisogno di capire i loro flussi di dati. Hanno influito sui flussi di dati personali transfrontalieri? Hanno messo in atto clausole contrattuali standard o regole aziendali vincolanti?
Il governo ha pubblicato un avviso per le imprese a settembre, clicca here per le informazioni.
L'ICO (Information Commissioner's Office) fornisce buone informazioni:
ICO Lasciare i sei passaggi dell'UE (https://ico.org.uk/media/2553958/leaving-the-eu-six-steps-to-take.pdf)
Strumento ICO per capire se SCC funzionerà per te (https://ico.org.uk/for-organisations/data-protection-and-brexit/standard-contractual-clauses-for-transfers-from-the-eea- to-the-uk-interactive-tool/)
Maggiori informazioni su tutto il lavoro svolto finora da British Marine sui negoziati di uscita dall'UE, insieme a una serie di documenti orientativi, sono disponibili per i membri sul Sito web della marina britannica.