La situazione normativa UK con riflesso sulla protezione dei dati personali è in continuo mutamento, dopo la decisione di adeguatezza per il Regno Unito adottata dalla Commissione europea il 28 giugno scorso.
La decisione della Commissione ha dato stabilità a un lungo periodo di incertezza determinato dal fatto che, dal primo gennaio 2020, i trasferimenti di dati personali verso il Regno Unito erano disciplinati da regimi provvisori e temporanei.
Grazie alla valutazione di adeguatezza, le imprese e le organizzazioni dell’UE e del SEE possono trasferire i dati personali in UK senza dover mettere in atto misure aggiuntive, semplificando, così, enormemente gli oneri a carico delle imprese e garantendo la continuità dei trasferimenti di dati personali dall’UE al Regno Unito.
La decisione, però, ha previsto una “sunset clause”, che limita la durata della decisione a quattro anni e prevede meccanismi di controllo costante del quadro giuridico locale. Pertanto, qualora la Commissione dovesse verificare che il livello di protezione non è più garantito, potrà sospendere, abrogare o modificare la decisione.
Ogni mutamento all’interno dell’ordinamento giuridico del Paese, quindi, è oggetto di particolare attenzione e sottoposto al vaglio degli organismi UE e comporta conseguenze su tutte le imprese situate all’interno dell’Unione che effettuano scambi commerciali con il Regno Unito.
Data protection, Regno Unito promosso dalla Commissione UE: via libera al trasferimento dei dati
Indice degli argomenti
Data protection: le proposte di riforma del Regno Unito
Il 10 settembre scorso il governo inglese ha pubblicato alcune proposte di riforma in tema di protezione dei dati personali, allo scopo di chiarire gli aspetti che ancora causano incertezza e creare un sistema più favorevole alla crescita e all’innovazione, pur volendo mantenere alto il livello di protezione dei dati.
Il testo contenente le riforme è sottoposto a consultazione pubblica fino al 19 novembre 2021.
Il Secretary of State for Digital, Culture, Media and Sport Oliver Dowden ha dichiarato: “Ora che abbiamo lasciato l’UE, abbiamo la libertà di creare un nuovo regime di dati: un regime che sprigiona il potere dei dati in tutti i settori dell’economia e della società, a beneficio dei cittadini e delle imprese britanniche, pur mantenendo alti standard di protezione dei dati”.
Le riforme delineate in questa proposta sono volte a:
- rafforzare la posizione del Regno Unito come superpotenza scientifica, semplificando l’uso dei dati da parte di ricercatori e sviluppatori di IA e altre tecnologie all’avanguardia;
- sfruttare l’uso senza precedenti e salvavita dei dati personali per affrontare la pandemia da Covid-19;
- assicurare lo status del Regno Unito come hub globale per il flusso dei dati libero e responsabile, predisponendo nuovi accordi commerciali e partnership con alcune delle economie in più rapida crescita del mondo;
- rafforzare la responsabilità delle imprese nel mantenere le informazioni personali al sicuro, dando loro la possibilità di crescere e innovare;
- garantire che l’ICO rimanga un regolatore leader a livello mondiale, consentendo alle persone di utilizzare i dati in modo responsabile per raggiungere obiettivi economici e sociali.
La protezione dei dati personali delle persone è obiettivo centrale delle riforme, perché, secondo il Segretario di Stato, senza la fiducia di imprese e cittadini, il Regno Unito rischia di perdere i benefici di cui una società basata sull’uso responsabile dei dati può godere. Queste riforme proteggeranno i dati personali degli individui, inaugurando al contempo una nuova “età dell’oro” di crescita e innovazione in tutto il Paese.
Nel documento, il governo riconosce che la protezione dei dati dovrebbe essere un insieme flessibile e dinamico di regole che siano sufficientemente flessibili da essere interpretati rapidamente e chiaramente al fine di adattarsi al mondo in rapida evoluzione delle tecnologie data-driven.
Fare chiarezza nella legislazione sulla protezione dei dati
Le riforme dovranno, quindi, fornire maggiore chiarezza nella legislazione sulla protezione dei dati, per garantire che le leggi stiano al passo con lo sviluppo di tecnologie data-driven all’avanguardia. Le potenziali riforme esposte nel documento sono volte a creare più certezza per le aziende su quando e come possono usare responsabilmente i dati personali, e per garantire che le leggi riflettano più accuratamente le aspettative delle persone sul trattamento dei loro dati e su quando dovrebbero prestare attivamente il consenso.
Secondo quanto indicato nel documento, l’attuale regime UK risulterebbe eccessivamente complesso, poiché il GDPR del Regno Unito incorpora un gran numero di considerando che fungono da guida esplicativa o guida interpretativa degli articoli della legislazione che pur offrendo informazioni preziose sull’interpretazione delle norme, non fanno parte del testo operativo in termini giuridici e il loro contenuti non sono completamente rispecchiati nel corpo principale dell’UK GDPR.
Di conseguenza, le società possono essere riluttanti ad adottare un’interpretazione della legislazione che si basa su una lettura dei considerando che non è supportata da una corrispondenza nel testo della norma. Il governo propone, quindi, di trasferire alcuni considerando negli articoli della legislazione stessa.
Le proposte per fornire maggiore chiarezza nella legislazione completeranno il lavoro già in corso dell’ICO, per offrire guida e supporto concreto su come applicare le regole, aiutando così le società a raggiungere il loro obiettivo di creare prodotti e servizi data-driven innovativi preservando la fiducia dei clienti e dei consumatori.
Fondamentale sfruttare la condivisione globale dei dati
Con riferimento ai flussi internazionali di dati personali, il governo UK conferma che il miglioramento della sicurezza pubblica rimane un obiettivo centrale, così come centrale è l’impegno a rafforzare la protezione dei cittadini attraverso una cooperazione intensificata con i partner internazionali delle forze dell’ordine. Ritiene, infatti, fondamentale che il Regno Unito possa sfruttare i vantaggi della condivisione globale dei dati per salvaguardare efficacemente i cittadini e attirare maggiormente gli investitori nel Paese.
Il governo vuole, quindi, creare un quadro autonomo dei trasferimenti internazionali, che rifletta l’approccio indipendente del Regno Unito alla protezione dei dati e sostenga i suoi obiettivi più ampi relativi al commercio e alla sicurezza.
La finalità che il governo UK vorrebbe perseguire con le riforme proposte è poter valutare l’adozione di meccanismi più flessibili, innovativi e affidabili per proteggere i dati personali quando vengono trasferiti all’estero.
Per raggiungere questo obiettivo, il governo si prefigge di utilizzare efficacemente i metodi di valutazione dell’adeguatezza dei dati, che permettono al governo di riconoscere che gli standard di protezione dei dati in un’altra giurisdizione sono abbastanza alti da far venire meno la necessità di garanzie aggiuntive, e migliorare gli strumenti alternativi che facilitano i flussi di dati personali.
Attualmente la legge del Regno Unito considera adeguati gli Stati Membri dell’Unione Europea e gli stati del SEE, le istituzioni dell’UE, i dodici paesi che l’Unione aveva già valutato come adeguati prima della Brexit e Gibilterra. Il governo intende aggiungere altri paesi alla lista, portando avanti un ampio programma di valutazioni di adeguatezza, allo scopo di fornire alle aziende del Regno Unito un meccanismo semplice e sicuro per i trasferimenti internazionali di dati personali.
Il 26 agosto scorso, il governo ha identificato alcuni territori prioritari nelle valutazioni sull’adeguatezza della normativa: tra questi risultano gli Stati Uniti, l’Australia, la Repubblica di Corea, Singapore, il Dubai International Finance Centre e la Colombia.
Queste valutazioni e le eventuali decisioni saranno osservate molto attentamente dalla Commissione UE, che, nell’adottare la decisione di adeguatezza a favore del Regno Unito, aveva dichiarato che ogni mutamento delle condizioni, comprese decisioni e accordi internazionali in merito ai trasferimenti dei dati fuori dal Regno unito sarebbe stato monitorato, al fine di verificare che siano mantenuti adeguati i livelli di protezione apprestata ai dati personali dei cittadini UE e intervenire tempestivamente laddove vi fossero modifiche che portassero a un discostamento dal livello di protezione esistente al tempo della decisione.
Il ruolo fondamentale delle certificazioni
Nel quadro volto a semplificare gli adempimenti volti a proteggere i dati personali e renderli chiari e facilmente implementabili dalle aziende, l’ICO ha un ruolo fondamentale e sta effettuando un enorme lavoro per supportare le imprese in modo concreto.
Il 19 agosto 2021 l’Information Commissioner’s Office (ICO) ha approvato i primi criteri per tre schemi di certificazione, ai sensi dell’articolo 42 (5) del UK GDPR.
La certificazione è stata introdotta nell’ambito del GDPR del Regno Unito come un modo per aiutare le organizzazioni a dimostrare la conformità alle norme sulla protezione dei dati e, a sua volta, ispirare fiducia e sicurezza nelle persone che utilizzano i loro prodotti, processi e servizi.
La certificazione fornisce, dunque, un quadro di riferimento da seguire per le aziende e offre ai clienti la garanzia che stanno aderendo a standard forti.
ICO ha approvato i seguenti schemi:
- Certificazione ADISA ICT Asset Recovery 8.0. per responsabili fornitori di servizi di rimozione dei dati degli strumenti IT: esperti nei servizi di smaltimento dei beni informatici, hanno sviluppato uno standard che assicura che i dati personali siano gestiti in modo appropriato quando gli strumenti informatici vengono riutilizzati o distrutti.
- Age Check Certification Scheme (“ACCS”): lo schema ACCS è progettato per la verifica nei casi di accesso a prodotti o servizi per i quali sono state definite soglie di età.
- Age Appropriate Design Certification Scheme (AADCS). Questo schema individua i criteri di design appropriati all’età dei minori, per tutelare la privacy online dei bambini e si basa sul Chilldren’s Code.
Le società che raggiungono gli standard stabiliti in questi schemi di certificazione possono ottenere un vantaggio competitivo e dimostrare di avere il più alto livello di impegno per la conformità alla protezione dei dati ai loro clienti, partner e investitori.
Riconoscimento facciale e videosorveglianza: le altre novità
Anche in tema di videosorveglianza e riconoscimento facciale, il Regno Unito sta aggiornando il code of practice, che sarà oggetto di supervisione per i possibili impatti sulla decisione di adeguatezza. Il nuovo testo regola l’uso dei sistemi di sorveglianza da parte della polizia e delle autorità locali, e comprende linee guida sul riconoscimento facciale dal vivo.
Queste tecnologie possono essere estremamente invasive e portare alla sorveglianza di massa e saranno sicuramente oggetto di un attento vaglio della Commissione e del Parlamento Europeo.
