MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Che cos'è il GDPR del Regno Unito? Spiegazione della relazione con il GDPR e dei punti chiave da tenere a mente

General Corporate

Che cos'è il GDPR del Regno Unito? Spiegazione della relazione con il GDPR e dei punti chiave da tenere a mente

In seguito alla Brexit, il Regno Unito ha introdotto il proprio regolamento generale sulla protezione dei dati, noto come UK GDPR (General Data Protection Regulation del Regno Unito), che è entrato in vigore il 1° gennaio 2021.

Il GDPR è un regolamento dell’UE che stabilisce le norme per il trattamento e il trasferimento dei dati personali, e le aziende giapponesi che offrono servizi ai clienti all’interno dell’UE devono conformarsi al GDPR. L’UK GDPR è la versione britannica di questo regolamento.

In questo articolo, esamineremo in dettaglio la relazione tra il GDPR e l’EU GDPR, nonché le specifiche dell’EU GDPR. Conosceremo i punti chiave da tenere in considerazione quando si espande un’attività in Europa, inclusa la Gran Bretagna, e le leggi a cui è necessario prepararsi.

Il UK GDPR adottato in seguito all’uscita del Regno Unito dall’UE

Bandiera del Regno Unito

Il Regno Unito ha lasciato l’Unione Europea (UE) il 31 gennaio 2020 (Reiwa 2) e, in conseguenza di ciò, è stato adottato il UK GDPR basato sul GDPR dell’UE.

Con l’uscita dall’UE, il Regno Unito è diventato un “terzo paese” ai sensi del GDPR dell’UE, e le aziende britanniche che forniscono servizi ai consumatori dell’UE devono rispettare sia il GDPR del Regno Unito che quello dell’UE.

GDPR (Regolamento Generale sulla Protezione dei Dati dell’UE)Legge entrata in vigore nel 2018.
Richiede misure di protezione dei dati per chi offre beni o servizi alle persone nell’UE o ne monitora il comportamento.
UK GDPR (Regolamento Generale sulla Protezione dei Dati del Regno Unito)Legge adottata in seguito all’uscita del Regno Unito dall’UE nel 2020 (Reiwa 2). Richiede misure di protezione dei dati per le aziende e organizzazioni stabilite nel Regno Unito o per chi fornisce servizi agli utenti all’interno del Regno Unito.

Articolo correlato: Cos’è il GDPR? Confronto con la legge sulla protezione dei dati personali e punti chiave di cui le aziende giapponesi dovrebbero essere consapevoli[ja]

Articolo correlato: Spiegazione dei punti chiave per creare una politica sulla privacy conforme al GDPR[ja]

Cos’è il UK GDPR

Il UK GDPR (Regolamento Generale sulla Protezione dei Dati del Regno Unito) è un insieme di norme che stabilisce i requisiti per il trattamento dei dati personali e il loro trasferimento al di fuori del Regno Unito, nonché le norme e gli obblighi che coloro che trattano o trasferiscono tali dati devono rispettare.

Il Data Protection Act 2018 (Legge sulla Protezione dei Dati del 2018), promulgato nel 2018, ha aggiornato e definito il quadro legislativo introdotto dalla precedente legge sulla protezione dei dati del 1998 nel Regno Unito. Successivamente, tenendo conto della situazione della Brexit, è stato emendato in base al EU Withdrawal Act del 2018 e adottato come UK GDPR a partire dal 1° gennaio 2021.

Il UK GDPR si applica al “trattamento dei dati personali” effettuato nel corso delle attività di stabilimenti di responsabili o incaricati del trattamento situati nel Regno Unito. Inoltre, il UK GDPR si applica anche al trattamento dei dati personali effettuato da responsabili o incaricati del trattamento che non dispongono di stabilimenti nel Regno Unito in determinate circostanze.

Punti chiave da tenere a mente riguardo al UK GDPR

Punti chiave

In questo capitolo, spiegheremo i seguenti due punti chiave da tenere a mente riguardo al UK GDPR.

  • Trasferimento dei dati personali
  • Nomina di agenti e rappresentanti

Trasferimento dei dati personali

Per quanto riguarda il trasferimento di dati tra Giappone e Regno Unito, il Giappone ha deciso di continuare ad applicare le designazioni basate sull’articolo 24 della Legge Giapponese sulla Protezione dei Dati Personali (che prima della revisione effettuata dall’articolo 50 della Legge sulla Formazione della Società Digitale, in vigore dal 1 aprile del quarto anno dell’era Reiwa (2022)), anche dopo la Brexit.

Inoltre, il trasferimento di dati personali tra il Regno Unito e l’UE può proseguire senza intoppi anche durante il periodo di transizione.

Di conseguenza, anche dopo la Brexit, il trasferimento di dati personali tra Giappone e Regno Unito è garantito in modo fluido.

Nomina di agenti e rappresentanti

Le aziende britanniche che non dispongono di filiali o uffici all’interno dell’UE devono nominare un agente UE e aggiornare tempestivamente le notifiche di protezione dei dati.

AgenteLe aziende che non hanno una base nell’UE e che trattano dati personali all’interno dell’UE sono obbligate a nominare un agente nell’UE. L’agente ha il compito di coordinare le questioni relative al trattamento dei dati personali in rappresentanza dell’azienda con le autorità dell’UE.
RappresentanteIl rappresentante deve essere nominato dalle aziende con una base nell’UE che trattano dati personali all’interno dell’UE. Il rappresentante assume la responsabilità del trattamento dei dati personali dell’azienda all’interno dell’UE.

L’agente fungerà da rappresentante nel caso in cui non ci siano filiali o uffici.

Inoltre, secondo la legislazione britannica, le aziende dell’UE che detengono dati personali sono tenute a nominare un rappresentante nel Regno Unito.

Di conseguenza, le aziende con sedi nell’UE devono rivedere e separare i propri registri per determinare se le informazioni trattate rientrano nell’ambito di applicazione del UK GDPR.

Le aziende giapponesi soggette al UK GDPR

Azienda

Il UK GDPR si applica alle aziende giapponesi nei seguenti due casi:

  1. Quando stabiliscono e operano una base nel Regno Unito
  2. Quando non hanno una base nel Regno Unito ma sviluppano attività commerciali dirette verso il Regno Unito

Nel secondo caso, il UK GDPR si applica in situazioni come le seguenti:

  • Quando un’azienda giapponese lancia un sito di e-commerce rivolto al mercato globale, inclusa l’Europa
  • Quando si svolgono campagne di marketing rivolte al mercato europeo
  • Quando un’azienda giapponese genera entrate dal mercato europeo

Specificamente, si applica in casi come i seguenti:

  • Quando un’azienda giapponese distribuisce un’app di gioco ai giocatori situati nel Regno Unito e raccoglie nomi e cronologia degli acquisti dei giocatori
  • Quando un sito di e-commerce che permette pagamenti in sterline, presenta informazioni in inglese e menziona la spedizione verso il Regno Unito, raccoglie indirizzi, nomi e informazioni bancarie dei clienti
  • Quando un’azienda giapponese gestisce nomi e indirizzi email per inviare newsletter via email a persone situate nel Regno Unito
  • Quando un’azienda giapponese ottiene e analizza informazioni sulla posizione tramite un’app da individui situati nel Regno Unito
  • Quando un’azienda giapponese raccoglie informazioni sui cookie da un sito web per analizzare le preferenze personali e distribuire pubblicità basata sul comportamento
  • Quando un’azienda giapponese raccoglie e gestisce informazioni relative alla salute di individui situati nel Regno Unito tramite dispositivi indossabili (come smartwatch)

Di seguito è riportato il flusso di lavoro per l’applicazione del UK GDPR.

Flusso di lavoro

Riferimento: Manuale pratico sul “Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK GDPR)” | Ufficio di Londra del Dipartimento di Ricerca all’Estero dell’Organizzazione Giapponese per il Commercio Estero (JETRO)

I tre rischi in caso di violazione del GDPR del Regno Unito

In questo capitolo, presenteremo tre rischi associati alla violazione del GDPR del Regno Unito.

  • Rischio di subire sanzioni pecuniarie significative e altre penalità da parte dell’ICO
  • Rischio di ricevere richieste di risarcimento danni e altre azioni legali da parte dei soggetti dei dati
  • Rischio di perdere la fiducia nel business a causa di una gestione inadeguata della protezione dei dati personali

L’ICO (Information Commissioner’s Office) è un’agenzia indipendente del Regno Unito istituita per proteggere i diritti informativi. In caso di violazione delle norme del GDPR del Regno Unito, si può incorrere in multe imposte dall’ICO.

Le multe possono essere molto elevate; nel 2019, la compagnia aerea britannica British Airways è stata multata per 183 milioni di sterline (il 1,5% del fatturato globale annuo di British Airways) come sanzione.

Anche Marriott International, che gestisce famosi hotel come il Marriott e il Ritz-Carlton, è stata multata per 99 milioni di sterline.

Queste sanzioni vengono rese pubbliche, quindi oltre a dover affrontare multe elevate, si può anche subire un calo del valore del marchio. Una volta che il valore del marchio aziendale diminuisce, è molto difficile ristabilirlo. Per evitare la diminuzione della forza del marchio, è essenziale prestare la massima attenzione nella gestione dei dati personali.

Riepilogo: È essenziale monitorare le tendenze di riforma del UK GDPR

Il UK GDPR (Regolamento Generale sulla Protezione dei Dati del Regno Unito) è una delle leggi relativamente recenti, modificata il 1° gennaio 2021 (2021) a seguito dell’uscita del Regno Unito dall’UE.

Inoltre, nel Regno Unito sono applicate due normative: il UK GDPR, destinato al mercato interno britannico, e l’EU GDPR, che si applica agli altri paesi dell’UE.

Attualmente, si sta procedendo a una revisione multidimensionale delle normative relative alla protezione dei dati personali. Pertanto, le aziende giapponesi che hanno già intrapreso attività nel Regno Unito o nei paesi dell’UE dovrebbero prestare attenzione alle future tendenze di riforma del UK GDPR.

Violare il UK GDPR può comportare non solo l’imposizione di pesanti sanzioni pecuniarie, ma anche il deterioramento del brand aziendale. È fondamentale rivedere le proprie strutture di sicurezza, aggiornarsi sui cambiamenti normativi e adottare le misure appropriate.

Presentazione delle strategie del nostro studio legale

Lo Studio Legale Monolith vanta una vasta esperienza nel settore IT, in particolare in relazione a Internet e al diritto. Negli ultimi anni, il business globale ha continuato ad espandersi, e la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni in materia di diritto internazionale.

Aree di competenza dello Studio Legale Monolith: Diritto internazionale e affari esteri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Ritorna su