È passato oltre un anno da quando abbiamo pubblicato il nostro ultimo post sulla Brexit ed è evidente che da allora sono cambiate molte cose! Diamo ora uno sguardo alle implicazioni della Brexit per la normativa GDPR e all’impatto per le aziende che operano nel Regno Unito e in Europa.
Con il 31 dicembre 2020 è terminato il periodo di transizione della Brexit e, sebbene il GDPR dell'UE non si applichi più direttamente al Regno Unito, è stato adottato come legge nazionale unitamente a vari emendamenti al fine di garantire che possa essere applicato nel Regno Unito. Questa versione modificata, comunemente nota come “UK GDPR”, oggi disciplina il trattamento dei dati nel Regno Unito. Come delineato qui nelle FAQ dell'ICO (Information Commissioner’s Officer, l’autorità indipendente del Regno Unito per l’informazione) per il termine del periodo di transizione, altre norme come PECR (che disciplina il marketing diretto via telefono, email o altri messaggi in formato elettronico) e NIS (che disciplina i servizi digitali) continueranno a essere applicate nel Regno Unito.
Ma cosa significa questo per le aziende? Secondo un recente articolo di Osborne Clarke, società di consulenza legale, “Sia l'EU GDPR che lo UK GDPR hanno un effetto extraterritoriale e le aziende devono pensare all'impatto che i due regimi avranno sui loro flussi di dati, sui registri dei trattamenti, sui contratti, sulle politiche e sulle procedure, insieme ai requisiti per nominare i rappresentanti della protezione dei dati dell'UE.”
Hai un progetto di traduzione legale? Contattaci!
Molte aziende saranno soggette ai due regimi GDPR, poiché entrambe le normative EU GDPR e UK GDPR hanno una portata extraterritoriale. Di conseguenza, se la tua azienda ha uffici sia nell'UE che nel Regno Unito, per esempio, sarà soggetta a entrambi i regimi. Sebbene l'EU GDPR e lo UK GDPR siano sostanzialmente paralleli, restano comunque separati, e le aziende dovranno pertanto essere preparate a rispettare entrambe le normative sulla protezione dei dati.
Uno dei cambiamenti immediati derivanti dall'adozione del regime dello UK GDPR è che molte organizzazioni dovranno aggiornare i loro contratti e le loro politiche. Sempre Osborne Clarke sul tema afferma che “l'aspettativa è che l'ICO approvi una nuova serie di clausole contrattuali standard a tempo debito, che probabilmente replicheranno e si allineeranno con la nuova bozza di clausole contrattuali standard pubblicate dalla Commissione Europea nel novembre 2020.”
La prima cosa che viene in mente pensando a nuovi contratti e politiche è probabilmente il lavoro burocratico richiesto! Per un'azienda con uffici europei e britannici, questo potrebbe significare moltiplicare la pila di carte, qualora sia necessario tradurre questi documenti per ogni Paese in cui opera. Il nostro team di esperti in traduzioni legali è pronto a sostenerti durante tutto il processo.
In funzione delle circostanze, è possibile che le aziende abbiano ulteriori responsabilità normative. Per esempio, nei prossimi mesi, le organizzazioni potrebbero dover nominare dei Responsabili per la protezione dei dati personali separati per l'UE e il Regno Unito. Le aziende dovrebbero inoltre assicurarsi che registri, politiche sulla privacy e contratti siano aggiornati per riflettere la posizione del Regno Unito fuori dall'UE.
Nelle settimane precedenti la Brexit, è emersa una grande incertezza su ciò che un “No deal Brexit”, letteralmente “Brexit senza accordo”, avrebbe potuto comportare per il GDPR e le organizzazioni che devono trasferire i dati tra l'UE e il Regno Unito. L'UE deve ancora valutare se il Regno Unito offra un livello adeguato di protezione dei dati, ma l'Accordo sugli scambi e la cooperazione UE-Regno Unito (TCA) implementa una soluzione provvisoria che dà all'UE più tempo per prendere la sua decisione. L'accordo ha effettivamente legittimato il trasferimento di dati per un periodo massimo di sei mesi, a partire dal 1° gennaio 2021. Come ha concluso DLA Piper nel suo rapporto sui trasferimenti di dati UE-Regno Unito, “gli impegni che sono stati assunti, unitamente al periodo di transizione di sei mesi nell'accordo commerciale, saranno una notizia gradita alle aziende e dovrebbero dare sufficiente fiducia per prevedere che l'adeguatezza sia risolta a breve.” Dall'altra parte, il Regno Unito ha già confermato che considera gli stati membri dell'UE adeguati e che i flussi di dati possono continuare senza ulteriori modifiche. Questa è una buona notizia sia per le aziende europee che per quelle britanniche.
Per concludere, se i regimi GDPR nell'UE e nel Regno Unito sono essenzialmente simili, rimangono alcuni punti da considerare per quanto riguarda le politiche e le procedure di protezione dei dati.
Se la tua azienda ha bisogno di assistenza per la traduzione di qualsiasi documento legale, contattaci e saremo lieti di aiutarti.