Il Data Use and Access Act (DUAA) del Regno Unito aggiorna le politiche di protezione dei dati del Regno Unito, modificando il GDPR e il PECR (Regolamento sulla privacy e sulle comunicazioni elettroniche) già esistenti. L'idea alla base del DUAA è semplificare l'elaborazione dei dati per favorire l'innovazione e la crescita. Siete pronti per il DUAA?
Il Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR) è la versione britannica del GDPR dell'UE. A seguito della Brexit, il GDPR dell'UE è stato recepito nell'ordinamento giuridico britannico tramite il Data Protection Act del 2018, con lievi modifiche. Sebbene i principi fondamentali rimangano pressoché identici a quelli del GDPR dell'UE, vi sono importanti distinzioni di cui le aziende britanniche, e qualsiasi organizzazione che gestisca i dati dei residenti nel Regno Unito, devono essere consapevoli. Nel 2025, il cosiddetto GDPR del Regno Unito è diventato il Data Use and Access Act (DUAA).
Come il GDPR dell'UE, il DUAA stabilisce requisiti rigorosi su come le aziende devono raccogliere, elaborare e proteggere i dati personali. Per essere conformi, le organizzazioni devono:
Trattare le informazioni personali in modo corretto e lecito:
La raccolta e l'utilizzo dei dati devono essere leciti, equi e trasparenti.
Raccogliere dati per scopi specifici:
I dati personali possono essere raccolti solo per finalità chiaramente definite e legittime.
Nominare un responsabile del trattamento dei dati:
È necessario designare un individuo (o un'organizzazione) come responsabile della dimostrazione della conformità.
Limitare la raccolta e lo stoccaggio:
Seguire il principio della minimizzazione dei dati: raccogliere solo ciò che è necessario e conservarlo solo per il tempo necessario.
Mantenere la precisione:
Assicurarsi che i dati personali siano accurati e aggiornati.
Proteggere la sicurezza dei dati:
Applicare misure tecniche e organizzative appropriate per salvaguardare l'integrità, la riservatezza e la disponibilità.
Il DUAA/GDPR del Regno Unito si applica a:
Qualsiasi organizzazione con sede nel Regno Unito che elabora dati personali.
Qualsiasi organizzazione non britannica che offre beni o servizi ai residenti nel Regno Unito o ne monitora il comportamento.
Ciò significa che anche se la tua attività si trova al di fuori del Regno Unito, potresti comunque dover rispettare la normativa se gestisci dati di cittadini britannici.
Il DUAA/UK GDPR garantisce agli individui un solido insieme di diritti sulla privacy dei dati:
Gli individui possono richiedere una copia dei propri dati personali.
Gli interessati possono correggere dati inesatti o incompleti.
Gli individui possono richiedere la cancellazione dei propri dati personali.
Le persone possono limitare il modo in cui vengono utilizzati i loro dati.
I dati devono essere forniti in un formato utilizzabile e trasferibile.
Gli individui possono rifiutare l'uso dei propri dati per finalità di profilazione, marketing o altri scopi.
Le persone sono protette dalle decisioni prese esclusivamente tramite mezzi automatizzati, senza l'intervento umano.
I cookie rimangono un problema critico di conformità. Ai sensi del DUAA/UK GDPR e del Regolamento sulla privacy e le comunicazioni elettroniche (PECR) del Regno Unito, i siti web devono ottenere un consenso valido prima di installare la maggior parte dei cookie.
La conformità richiede:
Consenso informato: gli utenti devono acconsentire all'utilizzo dei cookie non essenziali.
Trasparenza: indicare chiaramente categorie, finalità e periodi di conservazione dei dati raccolti tramite i cookie.
Ritiro semplice: semplificare la revoca del consenso in qualsiasi momento per gli utenti.
Per la maggior parte dei siti web del Regno Unito, ciò significa implementare un banner di consenso ai cookie che offra agli utenti una scelta chiara e autentica.
L'Information Commissioner's Office (ICO) è responsabile dell'applicazione del GDPR nel Regno Unito. Le sanzioni possono arrivare fino a 17,5 milioni di sterline o al 4% del fatturato annuo globale, a seconda di quale sia l'importo più elevato. Oltre alle sanzioni pecuniarie, i rischi di non conformità includono:
Perdita di fiducia dei consumatori
Rischi contrattuali se i partner richiedono una prova di conformità
Azioni legali da parte di singoli individui
Le aziende dovrebbero adottare misure proattive per ridurre il rischio di conformità:
Esaminare le pratiche relative ai dati:
Verificare le modalità di raccolta, elaborazione e condivisione dei dati, garantendo la conformità al DUAA.
Implementare la gestione del consenso:
Utilizza una piattaforma di gestione del consenso (CMP) come CookieHub per semplificare la conformità dei cookie e del consenso.
Controlla i contratti dei partner:
Aggiornare i contratti di terze parti per garantire che riflettano gli obblighi del GDPR del Regno Unito.
Aggiorna le politiche sulla privacy:
Spiegare chiaramente come vengono utilizzati, archiviati e condivisi i dati personali.
Formare i dipendenti:
Formare il personale sugli obblighi del DUAA e sul loro ruolo nel rispetto della normativa.
In qualità di piattaforma affidabile per la gestione del consenso, CookieHub aiuta le aziende a semplificare la conformità a DUAA e PECR. Dal consenso sui cookie alla trasparenza dei dati, CookieHub consente alle organizzazioni di gestire le scelte degli utenti senza la complessità di dover creare da zero processi di conformità.
Migliaia di aziende si affidano già a CookieHub per identificare i cookie nascosti, fornire banner di consenso trasparenti e tutelarsi dalle sanzioni ICO.
Il DUAA stabilisce le regole per l'accesso, la condivisione e l'utilizzo dei dati personali da parte delle organizzazioni nel Regno Unito, in conformità con il GDPR del Regno Unito. Si applica alle aziende e agli enti pubblici che operano nel Regno Unito, nonché alle entità straniere che trattano i dati dei residenti nel Regno Unito in relazione a beni, servizi o attività di monitoraggio. Il DUAA integra il GDPR del Regno Unito stabilendo standard più chiari per l'accesso ai dati, in particolare nei settori regolamentati o ad alto rischio.
I dati personali sono tutte le informazioni che possono identificare una persona fisica, direttamente o indirettamente. Tra queste rientrano dettagli quali nome, data di nascita, indirizzo, numeri di identificazione, identificatori online (come cookie o indirizzi IP) o qualsiasi fattore relativo all'identità fisica, culturale o sociale di una persona.
I dati sensibili (legalmente definiti dati di categoria speciale) includono informazioni che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, i dati biometrici utilizzati per l'identificazione, le informazioni sanitarie e i dettagli sulla vita sessuale o sull'orientamento sessuale. Il trattamento di questo tipo di dati ai sensi del DUAA e del GDPR del Regno Unito richiede garanzie più rigorose e, solitamente, il consenso esplicito.
L'Information Commissioner's Office (ICO) è l'autorità di regolamentazione indipendente per la protezione dei dati del Regno Unito. Supervisiona la conformità al GDPR del Regno Unito, al Data Protection Act 2018 e alle leggi correlate come il DUAA. L'ICO ha il potere di indagare, emanare linee guida e imporre sanzioni in caso di inosservanza.
Il DUAA generalmente non si applica agli individui che utilizzano dati personali per scopi strettamente personali o domestici. Alcune esenzioni possono applicarsi anche ai dati trattati per fini giornalistici, di ricerca accademica o di sicurezza nazionale. Inoltre, specifiche disposizioni di legge possono consentire un uso limitato dei dati personali senza obblighi previsti dal DUAA in casi eccezionali.
Linee guida e aggiornamenti ufficiali sono disponibili sul sito web dell'Information Commissioner's Office (ICO) (ico.org.uk). A seconda del settore, enti regolatori come l'NHS (per l'assistenza sanitaria) o la FCA (per la finanza) potrebbero fornire risorse aggiuntive. Per una consulenza approfondita, si consiglia di consultare un professionista legale o di compliance con esperienza nella normativa britannica sulla protezione dei dati.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
