UK GDPR vs EU GDPR: La separazione dei beni dopo Brexit (e chi ha preso il tostapane)

Qual è la differenza principale tra UK GDPR ed EU GDPR?

La differenza principale tra UK GDPR ed EU GDPR è che, dopo Brexit, il Regno Unito ha incorporato il GDPR europeo nel proprio diritto nazionale con modifiche minori, creando un regime sostanzialmente identico ma giuridicamente separato, con proprie autorità di controllo (ICO) e regole per i trasferimenti internazionali di dati.

Immagina due coinquilini che per anni hanno condiviso un appartamento con regole precise per la cucina. Poi uno dei due decide di traslocare, ma invece di rifarsi da capo, prende il manuale delle regole, lo fotocopia e ci aggiunge qualche post-it. Ecco, più o meno, cosa è successo con il UK GDPR e l'EU GDPR dopo Brexit.

Due gemelli diversi: le somiglianze

All'apparenza, i due regolamenti sono identici. Entrambi proteggono i dati personali, richiedono il consenso per il trattamento, garantiscono diritti come l'accesso e la cancellazione, e impongono notifiche delle violazioni. Se sei un'azienda che opera in entrambi i regni, potresti pensare di aver già fatto i compiti. Ma attenzione: le differenze, seppur sottili, possono farti inciampare.

Le differenze chiave: dove il Regno Unito ha messo i post-it

1. Trasferimenti internazionali di dati

Il EU GDPR considera il Regno Unito un "paese terzo" ai fini dei trasferimenti di dati. Ciò significa che, per inviare dati personali dall'UE al Regno Unito, le aziende devono basarsi su una decisione di adeguatezza (che l'UE ha concesso al Regno Unito, ma con una clausola di scadenza ogni 4 anni) o su strumenti di trasferimento come le clausole contrattuali standard (SCC). Il UK GDPR, dal canto suo, ha un proprio meccanismo di adeguatezza per i paesi terzi, e ha già riconosciuto l'UE come adeguata. Quindi, per ora, i flussi di dati vanno avanti, ma con un occhio al futuro.

2. Il ruolo dell'ICO vs. il Garante europeo

L'ICO (Information Commissioner's Office) è l'autorità di controllo del Regno Unito. Dopo Brexit, non fa più parte del Comitato europeo per la protezione dei dati (EDPB). Questo significa che l'ICO può interpretare il UK GDPR in modo leggermente diverso, e le sue decisioni non sono più soggette al parere vincolante dell'EDPB. In pratica, l'ICO è diventato un arbitro solitario, mentre in Europa c'è una squadra di arbitri che si coordina. Per le aziende multinazionali, questo può creare confusione: una violazione potrebbe essere gestita diversamente a seconda che riguardi dati di cittadini UK o UE.

3. Altre differenze minori ma significative

• Età del consenso digitale: Nel Regno Unito, l'età per il consenso al trattamento dei dati dei minori per i servizi della società dell'informazione è 13 anni, mentre in molti paesi UE è 16 (con possibilità di deroga a 13).
• Rappresentante nel Regno Unito: Le aziende UE che trattano dati di cittadini UK devono nominare un rappresentante nel Regno Unito, e viceversa.
• Sanzioni: Le multe massime sono le stesse (20 milioni di euro o 4% del fatturato annuo globale), ma l'ICO ha mostrato un approccio leggermente più morbido rispetto ad alcune autorità europee.

Consigli pratici per le aziende

Se la tua azienda opera in entrambi i mercati, non puoi più applicare un unico GDPR. Devi mappare i tuoi flussi di dati, identificare se tratti dati di cittadini UK o UE, e assicurarti di rispettare entrambi i regimi. In pratica, hai due serie di regole per la stessa cucina. E se pensi che sia complicato, aspetta di dover gestire un data breach che coinvolge dati di entrambi i lati della Manica.

Per approfondire, consulta il sito ufficiale dell'ICO e del Garante europeo.