Nell’era digitale odierna, la privacy dei dati personali e la sicurezza informatica rappresentano sfide significative per le aziende. Di conseguenza, il Regno Unito ha adottato numerose normative e regolamenti per garantire la sicurezza delle informazioni personali e sensibili. Il regolamento generale sulla protezione dei dati (GDPR), il Data Protection Act 2018 (DPA 2018) e la legislazione sulla sicurezza informatica costituiscono il quadro normativo di riferimento per la protezione dei dati e la sicurezza informatica nel Regno Unito.
Il GDPR dell’Unione europea, che ha sostituito la direttiva sulla protezione dei dati del 1995, è entrato in vigore nel maggio 2018 con lo scopo di migliorare le leggi dell’UE sulla protezione dei dati. Tale regolamento disciplina le modalita’ con cui le imprese che operano all’interno dell’UE e le imprese al di fuori dell’UE che elaborano dati appartenenti a soggetti residenti nell’UE devono raccogliere, archiviare e gestire le informazioni personali. Nonostante la Brexit, il GDPR continua a trovare applicazione nel Regno Unito.
Il Data Protection Act del 2018 costituisce la legge di attuazione del GDPR da parte del Regno Unito.
L’Information Commissioner’s Office (ICO) e’ l’autorità indipendente per la protezione dei dati del Regno Unito.
Accanto al Data Protection Act e al GDPR, e’ stato adottato il Privacy and Electronic Communications Regulations (PECR). Tale Regolamento disciplina le comunicazioni elettroniche. Sono previste linee guida riguardanti, a titolo esemplificativo ma non esaustivo, la sicurezza dei servizi di comunicazione, le chiamate di marketing, le e-mail, i messaggi di testo e i fax, nonché i cookie (e le tecnologie correlate).
Per gestire le minacce alla sicurezza delle loro reti e dei loro sistemi informativi, le imprese devono attuare misure tecniche adeguate e proporzionate. Sono soggetti alla normativa gli Operatori di Servizi Essenziali (OES) e i Digital Service Provider (DSP), che comprendono imprese di vari settori quali servizi finanziari, energia e sanità.
Il Regno Unito ha una propria politica di sicurezza informatica che traccia le minacce, le tendenze e gli sviluppi più recenti. Tale politica pone una serie di obiettivi che mirano ad aumentare lo standard generale di sicurezza informatica delle imprese del Regno Unito. Al suo interno è incluso il Cyber Security Information Sharing Partnership (CiSP), un forum per lo scambio di dati sulle minacce informatiche.
Il governo del Regno Unito ha anche istituito il National Cyber Security Centre (NCSC), che fa parte del GCHQ, l’agenzia di intelligence dei segnali del Regno Unito. NCSC fornisce guida e supporto alle imprese per proteggersi dalle minacce informatiche e collabora con altre organizzazioni per identificare e far fronte agli incidenti informatici.
In sintesi, il Regno Unito dispone di un solido quadro normativo a protezione delle informazioni personali e sensibili e a garanzia della sicurezza delle reti e dei sistemi informativi. Il regolamento generale sulla protezione dei dati (GDPR), il Data Protection Act 2018 (DPA 2018) e i regolamenti sulla sicurezza informatica sono i principali regolamenti che le organizzazioni che operano nel Regno Unito devono rispettare. Il National Cyber Security Center (NCSC) fornisce indicazioni e supporto alle organizzazioni su come proteggersi dalle minacce informatiche. Rispettando queste normative e seguendo le indicazioni fornite dal governo, le organizzazioni che operano nel Regno Unito possono contribuire a mitigare i rischi associati a violazioni dei dati e attacchi informatici.