Il governo britannico vuole riformare le leggi sulla protezione dei dati, eliminando gli oneri amministrativi e contribuendo a promuovere l’innovazione. La sfida è raggiungere questo obiettivo senza causare interruzioni o rischiare relazioni commerciali.
Quindi, a che punto è la legge sulla protezione dei dati e delle informazioni digitali (DPDI) sulla strada per diventare legge e quali cambiamenti apporterà alla tua organizzazione?
Disegno di legge sulla protezione dei dati e le informazioni digitali
Cos'è?
Il disegno di legge sulla protezione dei dati e l’informazione digitale (DPDI) presenta le riforme post-Brexit delle leggi sulla protezione dei dati del Regno Unito.
Il governo sostiene che la nuova legislazione:
- Conservare i migliori elementi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE
- Maggiore flessibilità
- Ridurre i costi di 4,7 miliardi di sterline in 10 anni
- Facilitare il commercio globale
- Sii semplice, chiaro e adatto alle aziende
La sfida per la legislazione è contribuire a sostenere l’innovazione e ridurre gli oneri amministrativi, senza apportare modifiche che:
- Violazione dei diritti individuali in materia di dati
- Richiedere alle aziende di creare nuovi sistemi di dati
- Creare ostacoli al commercio con l’UE e altre giurisdizioni internazionali
Quando è stato introdotto?
Il DPDI è stato inizialmente presentato al Parlamento del Regno Unito il 18 luglio 2022. Una seconda lettura del disegno di legge prevista per settembre 2022 è stata messa in pausa dopo le dimissioni di Boris Johnson da primo ministro.
L’8 marzo 2023, una versione rivista della legislazione, nota come DPDI (No 2) Bill è stata presentata dal segretario di Stato Michelle Donelan. È probabile che si proceda a una seconda lettura alla Camera dei Comuni nell’autunno 2023.
It’s easy to be compliant with CookieHub
Sign up today and create a custom cookie banner for your website
- 30 day free trial
- No credit card required
Chi colpisce?
DPDI interesserà organizzazioni di tutte le dimensioni e settori, dal più piccolo ente di beneficenza alle grandi aziende. Avrà anche un impatto sulle organizzazioni internazionali che commerciano all’interno del Regno Unito o gestiscono i dati dei cittadini del Regno Unito.
Principali punti salienti del DPDI
Il DPDI potrebbe introdurre:
- Una nuova definizione di dati personali che aiuta a descrivere il livello di anonimato richiesto per mettere un individuo al di là dell’identificazione con “mezzi ragionevoli”
- Una categoria di dati relativi agli interessi legittimi (ad es. reato, salvaguardia) che elimina l’obbligo di effettuare una valutazione dell’interesse legittimo
- Fattori da considerare nel riutilizzo dei dati personali per un nuovo scopo e situazioni specifiche in cui il riutilizzo sarà lecito
- Rendere più facile per le organizzazioni rifiutare le richieste di accesso degli interessati laddove siano vessatorie o eccessive, data l’intera gamma di circostanze
- Chiarire le circostanze in cui l’IA può essere utilizzata per processi decisionali automatizzati senza un significativo coinvolgimento umano
- Sostituzione dei responsabili della protezione dei dati (DPO) con persone responsabili senior (SRI) che devono essere senior manager
- Valutazioni d’impatto sul trattamento dei dati sostituite con valutazioni del trattamento ad alto rischio da effettuare laddove le attività di trattamento dei dati siano identificate come ad alto rischio
- Rimozione dell’obbligo di tenere registri delle attività di trattamento, sostituito dall’obbligo di mantenere registri appropriati
- Un nuovo test di protezione dei dati da applicare alle disposizioni per i meccanismi di trasferimento dei dati personali al di fuori del Regno Unito
- Il Commissario per l’informazione sarà ristrutturato in una commissione per l’informazione, con nuovi poteri di esecuzione e un mandato che include il riconoscimento della necessità di promuovere l’innovazione e la concorrenza
- Procedure di reclamo volte ad aumentare il numero di reclami risolti senza il coinvolgimento della Commissione d’informazione
- Uno scossone della conformità al GDPR per ridurre i pop-up, consentendoli laddove un individuo abbia acconsentito o i dati vengano utilizzati per scopi specifici come il miglioramento del sito Web
GDPR vs DPDI
DPDI non è un sostituto all’ingrosso della legislazione sulla protezione dei dati GDPR. Invece, modifica la legislazione esistente (Data Protection Act 2018 e GDPR del Regno Unito) in modo che ci sia molto lavoro per gli avvocati che incrociano diversi atti legislativi.
Quando la legislazione sarà finalizzata, l’UE applicherà un test di adeguatezza per determinare se il nuovo regime di protezione dei dati del Regno Unito fornisce un’adeguata protezione dei dati, consentendo il proseguimento dei flussi di dati tra l’UE e il Regno Unito.
DPDI: Disegno di legge n.1 vs Disegno di legge n.2
Quali sono le modifiche apportate al DPDI (No 1) pubblicato nel luglio 2022, e DPDI (n. 2) nel marzo 2023?
DPDI (n. 1)
Finalità della ricerca
Chiarimento delle modalità di utilizzo dei dati personali a fini di ricerca, statistici e storici, al fine di assistere gli scienziati nell’utilizzo dei dati personali per il bene pubblico
Interesse legittimo
Modifiche all’ambito dell’interesse legittimo (laddove i dati personali possano essere utilizzati da un titolare del trattamento o da terzi, a condizione che non vengano violati i diritti e le libertà individuali)
Introduce “interessi legittimi riconosciuti” che non richiedono una valutazione dell’interesse legittimo
Registri di elaborazione
Riduzione degli obblighi ed esenzioni per le organizzazioni con meno di 250 dipendenti in cui il trattamento non è ad alto rischio. Livello di rischio da determinare esaminando la natura, l’ambito, il contesto e le finalità del trattamento dei dati
Trasferimenti internazionali di dati
Test sulla protezione dei dati per valutare la protezione fornita dalle norme del paese di destinazione durante il trasferimento dei dati
Biscotti
L’uso dei cookie è consentito senza l’acquisizione del consenso per finalità definite, come ad esempio la valutazione dell’utilizzo di un sito web.
Processo decisionale automatizzato
Chiarimento che un coinvolgimento umano significativo deve essere giudicato tenendo conto dell’estensione con cui la profilazione viene utilizzata nel prendere una decisione
DPDI (n. 2)
Finalità della ricerca
Aggiunta di “scopi di ricerca scientifica” per includere l’uso commerciale e non commerciale e ampliamento della definizione di “ricerca scientifica”
Interesse legittimo
Aggiunta di esempi di dati di interesse legittimo, come il marketing diretto e la sicurezza informatica
Registri di elaborazione
Eliminazione del riferimento al numero di dipendenti, ora l’obbligo è quello di valutare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone
Trasferimenti internazionali di dati
Chiarimento che i meccanismi di trasferimento dei dati personali stabiliti prima dell’entrata in vigore della legge saranno validi
Biscotti
Nessuna modifica aggiuntiva
Processo decisionale automatizzato
La definizione di processo decisionale automatizzato è quella in cui non vi è un coinvolgimento umano significativo in una decisione
Sei pronto per DPDI?
Nei prossimi anni è in arrivo un cambiamento nella legislazione sulla protezione dei dati del Regno Unito. Ciò include la riforma delle regole che regolano i cookie sul tuo sito. Assicurati che la tua politica sui cookie sia conforme alla legge e ottieni una panoramica della tua raccolta di dati utilizzando il nostro strumento di scansione dei cookie sul tuo sito.
Se hai bisogno di aiuto per assicurarti di essere conforme e sfruttare al meglio le nuove regole, CookieHub può aiutarti.
Iscriviti oggi per una prova gratuita.
Are you compliant?
CookieHub automatically scans your website to detect cookies, ensuring all cookies are easily managed.