Il Regno Unito è protetto dallo UK Data Protection Act 2018 (DPA 2018), una legge che si affianca allo UK General Data Protection Regulation (UK GDPR), che è come il GDPR dell'UE ma tiene conto dell'uscita del Regno Unito dall'Unione Europea nel 2020.
Di seguito, riassumo il Data Protection Act 2018 del Regno Unito, includendo a chi si applica, come impatta sulle aziende e sui consumatori, i suoi diversi requisiti, le sanzioni per la violazione della legge e come funziona con il GDPR del Regno Unito.
- cos'è il Data Protection Act 2018 del Regno Unito
- Legge sulla protezione dei dati del Regno Unito del 2018 Termini e definizioni chiave
- Cosa prevede la legge britannica sulla protezione dei dati
- Requisiti della legge britannica sulla protezione dei dati
- Come la legge sulla protezione dei dati del Regno Unito influisce sui consumatori
- Come la legge sulla protezione dei dati del Regno Unito influisce sulle aziende
- Chi deve rispettare il DPA 2018
- Come possono le aziende conformarsi al DPA 2018
- Come viene applicata la legge britannica sulla protezione dei dati
- Multe e sanzioni ai sensi della legge sulla protezione dei dati del Regno Unito
- Come Termly contribuisce alla conformità alla legge sulla protezione dei dati del Regno Unito
- Riassunto
cos'è il Data Protection Act 2018 del Regno Unito
Il Data Protection Act 2018 del Regno Unito, o DPA 2018, è una legge nazionale stabilita nel Regno Unito che costituisce parte del quadro giuridico sulla privacy per la regione insieme al GDPR del Regno Unito.
Esso regola le modalità di raccolta, conservazione e utilizzo dei dati personali e integra ed estende alcuni degli standard stabiliti dal GDPR britannico.
Data di entrata in vigore della legge sulla protezione dei dati
Il DPA 2018 è entrato in vigore il 25 maggio 2018.
Breve storia della legge sulla protezione dei dati, del GDPR del Regno Unito e del GDPR dell'UE
Per capire come il DPA 2018 e il GDPR del Regno Unito lavorano insieme, devo spiegare cosa è successo al quadro normativo sulla privacy del Regno Unito dopo il ritiro del Paese dall'UE.
Tecnicamente, il Data Protection Act e il GDPR dell'UE sono stati introdotti e sono entrati in vigore prima che il Regno Unito si ritirasse dall'Unione Europea il 31 gennaio 2020.
Il Regno Unito ha approvato il DPA 2018 perché il GDPR dell'UE contiene oltre 30 aree di disposizioni flessibili o regole aggiuntive che consentono variazioni nazionali al modo in cui gli Stati membri interpretano il regolamento. La promulgazione del Data Protection Act 2018 ha permesso al Regno Unito di dare ulteriore effetto al GDPR nelle aree flessibili esistenti.
Tuttavia, una volta che il Regno Unito si è ritirato dall'UE, il GDPR ha cessato di avere efficacia nella regione. Per evitare un vuoto giuridico, il governo britannico ha utilizzato l'european Union Withdrawal Act 2018 per incorporare il testo del GDPR dell'UE nel diritto interno del Regno Unito.
Il Regno Unito ha inoltre ottenuto una decisione di adeguatezza che conferma l'equivalenza dei regimi di protezione dei dati del Paese con quelli dell'UE, consentendo così di continuare a far circolare i dati dall'UE.
Infine, il DPA 2018 è stato modificato per allinearsi al nuovo GDPR britannico, rimanendo in vigore.
Oggi il GDPR del Regno Unito è quasi identico al GDPR dell'UE, ed entrambi delineano gli stessi diritti degli interessati, le stesse basi legali e gli stessi obblighi e requisiti aziendali.
Legge sulla protezione dei dati del Regno Unito del 2018 Termini e definizioni chiave
Secondo la sezione 3 del DPA 2018, i termini utilizzati nella legge hanno lo stesso significato che hanno nell' articolo 4 del GDPR del Regno Unito, che è possibile visualizzare di seguito:
Quando in questa guida si utilizzano queste frasi, si tiene conto di queste definizioni specifiche.
Cosa prevede la legge britannica sulla protezione dei dati
Il DPA 2018 riguarda i dati personali delle persone nel Regno Unito.
Si applica a tutte le aziende e organizzazioni con sede nel Regno Unito e a tutti i responsabili o incaricati del trattamento dei dati che:
- Offre beni o servizi a persone nel Regno Unito, e
- Sono al di fuori del Regno Unito ma monitorano persone nel Regno Unito.
Requisiti della legge britannica sulla protezione dei dati
Di seguito, ho riassunto i principali requisiti del DPA 2018 e il suo impatto sulle aziende.
Principi per l'elaborazione dei dati
Ai sensi del Data Protection Act 2018 del Regno Unito, i dati personali devono essere trattati in modo equo, trasparente e lecito.
Le entità possono raccogliere legalmente solo i dati necessari che sono pertinenti e proporzionati agli scopi comunicati al consumatore in un'informativa sulla privacy conforme.
Tutte le informazioni non considerate "necessarie" o "ragionevoli" non possono essere raccolte se prima non si ottiene un consenso esplicito, opt-in e informato.
Diritti dell'interessato
Il DPA 2018 del Regno Unito consolida i diritti delle persone interessate del Regno Unito come scritto nel GDPR del Regno Unito, che includono il diritto di:
- Accedere ai propri dati
- Correggere i propri dati
- Cancellare i loro dati
- Limitare il trattamento dei propri dati
- Obiezione al trattamento dei dati
Categorie speciali di dati
Il DPA 2018 ha stabilito che i responsabili del trattamento dei dati devono avere una chiara base giuridica per il trattamento di "categorie speciali" di dati, come i seguenti dati personali sensibili:
- Origine razziale o etnica
- Opinioni politiche
- Credenze religiose o filosofiche
- Iscrizione ai sindacati
- Dati genetici
- Dati biometrici
- Dati sulla salute
- Vita sessuale o orientamento sessuale
Tuttavia, ha anche introdotto la categoria "dati relativi ai reati", che rende legale il trattamento dei dati personali relativi a condanne e procedimenti penali per i soggetti autorizzati.
Sicurezza dei dati
Ai sensi del DPA 2018, le entità devono garantire un trattamento sicuro dei dati personali.
Il trattamento deve includere misure organizzative e tecniche adeguate per mantenere la quantità di dati e il tipo di dati al sicuro da accessi non autorizzati o altri danni.
Questi requisiti di sicurezza sono presenti anche nel GDPR del Regno Unito.
Applicazione della legge
Il DPA 2018 del Regno Unito prevede che un'autorità competente possa trattare legalmente i dati personali per scopi di applicazione della legge nella Parte 3 della legge.
Più specificamente, il documento definisce i seguenti requisiti:
- I dati trattati a fini di applicazione della legge devono essere trattati in modo lecito e corretto, aderendo ai principi fondamentali di protezione dei dati delineati dal DPA 2018 e dal GDPR del Regno Unito,
- I dati devono essere raccolti per scopi chiaramente definiti e legittimi di applicazione della legge,
- Solo i dati necessari, adeguati e pertinenti possono essere trattati a fini di applicazione della legge,
- Tutti i dati personali trattati a fini di applicazione della legge possono essere conservati solo per il tempo necessario agli scopi previsti e non oltre,
- Solo le autorità competenti possono trattare i dati in questo modo, vale a dire le forze di polizia e altre agenzie autorizzate del Regno Unito.
Come la legge sulla protezione dei dati del Regno Unito influisce sui consumatori
La legge britannica sulla protezione dei dati ha un impatto sui consumatori consolidando i loro diritti alla privacy, come delinea il GDPR britannico.
Gli utenti del Regno Unito possono presentare in qualsiasi momento richieste verificabili per dare seguito a questi diritti e gli enti devono rispondere tempestivamente o rischiano di incorrere in multe per mancata conformità.
Le richieste degli interessati di dare seguito ai loro diritti sulla privacy devono essere soddisfatte ogni volta che è tecnicamente possibile, e l'onere della prova è a carico dell'azienda.
Come la legge sulla protezione dei dati del Regno Unito influisce sulle aziende
Oltre ai requisiti legali già menzionati in questa guida, la legge britannica sulla protezione dei dati influisce anche sulle politiche di privacy e sui cookie delle aziende.
Poiché il Data Protection Act si integra con il GDPR britannico nella Parte 2 della legge, le aziende devono presentare agli utenti un'informativa sulla privacy conforme che spieghi:
- Quali dati personali si vogliono raccogliere,
- La base giuridica per la raccolta dei dati,
- I diritti degli interessati sulle loro informazioni e le modalità di esercizio di tali diritti,
- Se condividete i dati con terzi,
- La vostra politica di conservazione dei dati,
- Le informazioni di contatto della vostra azienda.
Allo stesso modo, le aziende devono aggiornare le loro politiche sui cookie per identificare e spiegare tutti i cookie utilizzati dal sito web.
Deve essere presentato agli utenti non appena approdano sulla pagina per tenerli adeguatamente informati in base a entrambe le leggi.
Chi deve rispettare il DPA 2018
Tutte le aziende, gli enti e le organizzazioni del Regno Unito sono tenuti a rispettare la legge britannica sulla protezione dei dati.
Si applica anche alle entità al di fuori del Regno Unito che soddisfano i seguenti criteri:
- Offrire beni o servizi a persone nel Regno Unito,
- Monitorare i comportamenti online delle persone nel Regno Unito.
Come possono le aziende conformarsi al DPA 2018
Per conformarsi al DPA 2018, le aziende devono anche rispettare il GDPR del Regno Unito, il che significa implementare quanto segue sul vostro sito web o sulla vostra app:
- Pubblicate sul vostro sito un'informativa aggiornata sulla privacy che soddisfi tutti i requisiti di trasparenza,
- Pubblicate sul vostro sito una politica aggiornata sui cookie che identifichi tutti i cookie utilizzati e ne spieghi lo scopo,
- Aggiungete al vostro sito un banner di consenso ai cookie con accesso a un centro di preferenze per consentire agli utenti del Regno Unito di esercitare i diritti di opt-out previsti da entrambe le leggi,
- Utilizzare contatti conformi tra gli incaricati del trattamento e i responsabili del trattamento di terze parti,
- Garantire che i trasferimenti di dati siano legalmente conformi e in linea con le leggi vigenti,
- Disporre di un mezzo per ricevere e rispondere alle richieste verificate degli interessati per dare seguito ai loro diritti in materia di privacy,
- Implementare misure di sicurezza per proteggere tutti i dati personali da accessi non autorizzati e altri danni.
Se il trattamento di categorie speciali di dati può comportare un rischio elevato (ad esempio, l'uso di dati biometrici su larga scala), è necessario condurre una DPIA per valutare e ridurre i rischi.
Come viene applicata la legge britannica sulla protezione dei dati
Il DPA 2018 è applicato dall' Information Commissioner's Office (ICO).
l'iCO è responsabile dell'esecuzione di indagini e dell'adozione di provvedimenti nei confronti di un'entità che non ha rispettato il DPA 2018 e il GDPR del Regno Unito.
Forniscono inoltre spunti e indicazioni per l'interpretazione della legge, del regolamento e del quadro generale sulla privacy nel Regno Unito.
Multe e sanzioni ai sensi della legge sulla protezione dei dati del Regno Unito
Le violazioni del GDPR britannico possono comportare multe fino al 4% del fatturato globale annuo o 17,5 milioni di sterline (a seconda di quale sia il valore più alto). Tuttavia, il DPA 2018 stabilisce sanzioni distinte per violazioni specifiche, come il trattamento illecito da parte delle forze dell'ordine.
Come Termly contribuisce alla conformità alla legge sulla protezione dei dati del Regno Unito
Termly aiuta le aziende a conformarsi facilmente a leggi come il Data Protection Act del Regno Unito (e il GDPR del Regno Unito!) offrendo soluzioni di policy legalmente supportate, come il nostro generatore di informativa sulla privacy e la gestione del consenso Platform (CMP).
Il nostro generatore di informativa sulla privacy viene aggiornato regolarmente e include i requisiti di notifica previsti da oltre 25 leggi sulla privacy di tutto il mondo.
Un esempio di come si presenta è riportato nella schermata seguente.
È inoltre possibile utilizzare il CMP di Termlyper impostare un banner conforme al consenso ai cookie con accesso a una cookie policy accurata e a un centro di preferenze, in modo che gli utenti del Regno Unito possano seguire facilmente i loro vari diritti.
È dotato di un modulo gratuito per la richiesta di accesso ai dati (DSAR), che rende la ricezione e la risposta a queste richieste ancora più efficiente e continua per la vostra azienda.
Riassunto
Il Regno Unito è protetto dal Data Protection Act del 2018 e dal GDPR del Regno Unito, due solidi quadri normativi in materia di privacy che garantiscono diversi diritti ai consumatori e delineano vari obblighi e linee guida rigorose che le aziende devono seguire.
Per essere conformi al DPA 2018, pianificate di aggiornare le vostre politiche sulla privacy e sui cookie, aggiungete un modulo DSAR al vostro sito web e utilizzate un CMP che soddisfi adeguatamente tutti i requisiti di opt-in e opt-out descritti da questa legge e dal GDPR britannico.
Per semplificare la conformità, utilizzate soluzioni come il generatore di informativa sulla privacy e il CMP di Termlye rimanete in regola con le leggi sulla privacy del Regno Unito (e non solo!).
Scritto da Natasha Piirainen
Natasha Piirainen è una scrittrice specializzata in privacy con una laurea in inglese e filosofia conseguita presso il Wheaton College e oltre 10 anni di esperienza professionale nello sviluppo di contenuti basati sulla ricerca.
Leggi tutti i post di Natasha Piirainen
Revisionato da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha Komnenic è consulente legale e Direttore della Privacy Globale Termly, laureata in giurisprudenza presso l'Università di Belgrado. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD).
Leggi tutti i post revisionati da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
