anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

ICO UK: Differenze tra UK GDPR e UE

L'ICO ha multato LastPass con £1,2 milioni per crittografia inadeguata nel dicembre 2025. La decisione stabilisce che la crittografia lato client è un requisito legale.

June 5, 20267 min di lettura
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR dopo la Brexit: cosa è cambiato

Il Data Protection Act 2018 ha recepito il UK GDPR nel diritto britannico. È molto simile al GDPR europeo, ma non in ogni aspetto. Chi opera sia nel Regno Unito che nell'UE deve effettuare due distinte verifiche di conformità.

Cosa è rimasto invariato:

  • Le sei basi giuridiche per il trattamento
  • I diritti degli interessati: accesso, cancellazione, rettifica, portabilità
  • Notifica della violazione all'autorità entro 72 ore
  • Privacy by design e by default

Cosa è cambiato:

  • Il Regno Unito adotta decisioni di adeguatezza proprie per i trasferimenti internazionali
  • Le linee guida UK sull'IA del 2023–2024 vanno oltre quelle dell'EDPB
  • Le eccezioni britanniche per la ricerca sono leggermente più ampie rispetto a quelle europee
  • L'autorità di regolazione sta passando dalla consulenza preventiva alle sanzioni, con tempi più rapidi di prima

La differenza tra le norme UK e UE è concreta. Trattale come due checklist distinte.

La multa a LastPass: la crittografia diventa un test legale

Nel dicembre 2025, l'ICO ha multato LastPass UK £1,2 milioni per un sistema di crittografia difettoso. Si tratta della decisione UK GDPR più rilevante in materia di sicurezza tecnica fino ad oggi.

Cosa ha rilevato l'autorità: LastPass conservava i dati dei vault con chiavi gestite lato server. Chiunque avesse accesso al server poteva leggere il vault. La decisione ha stabilito che questo violava il test delle "misure tecniche adeguate" previsto dall'Articolo 32 del UK GDPR.

La frase chiave della comunicazione: "Il titolare avrebbe dovuto utilizzare la crittografia lato client. Questo avrebbe protetto i dati del vault degli utenti anche in caso di violazione del server."

Il precedente stabilito: Se esiste un approccio più sicuro ed è realizzabile, adottare quello più debole può ora costituire una violazione dell'Articolo 32. La gestione delle chiavi lato server non è più un'impostazione predefinita sicura per i dati sensibili.

Chi è a rischio: Qualsiasi servizio che conserva dati sensibili e mantiene le chiavi di crittografia sui propri server. Ciò include strumenti che registrano testo per audit trail, statistiche d'uso o cronologia dei documenti. Se il server può leggere il testo, i regolatori potrebbero chiedersi perché non si è adottata una progettazione lato client. Scopri come anonym.legal gestisce questo aspetto con l'architettura zero-knowledge.

Linee guida UK sull'IA: otto requisiti tecnici

L'ICO ha pubblicato linee guida dettagliate sull'IA nel 2023–2024, che coprono otto requisiti specifici per i sistemi di IA generativa. Le linee guida europee comparabili sono meno dettagliate.

1. Provenienza dei dati di addestramento — I sistemi di IA addestrati su dati personali devono registrare l'origine di tali dati e le operazioni di pulizia effettuate.

2. Monitoraggio degli output — I sistemi che producono output personali devono disporre di controlli per rilevare e prevenire divulgazioni non autorizzate.

3. Limitazione delle finalità — I dati utilizzati per l'addestramento di IA devono corrispondere alla finalità dichiarata. L'addestramento generale su dati dei clienti richiede una base giuridica esplicita.

4. Diritti sulle decisioni automatizzate — Se il sistema di IA prende decisioni rilevanti su una persona, deve supportare accesso, spiegazione e ricorso.

5. Monitoraggio dei bias — I sistemi che utilizzano caratteristiche protette, direttamente o per inferenza, devono prevedere verifiche sui bias.

6. Minimizzazione prima del fine-tuning — I dati personali devono essere ridotti prima del fine-tuning. Una semplice policy non è sufficiente.

7. Cancellazione dai pesi del modello — Se i dati entrano nei pesi del modello, è necessario un piano per gestire le richieste di cancellazione. Sono richieste misure tecniche o equivalenti.

8. Verifica dell'IA di terze parti — Se si utilizza un sistema di IA di un'altra azienda, occorre verificare e documentare la sua conformità a tutti gli otto punti.

Questi otto requisiti costituiscono una checklist pratica per qualsiasi deployment di IA nel Regno Unito.

UK Enforcement: la svolta verso le sanzioni

In precedenza, l'autorità preferiva le lettere di orientamento alle sanzioni. Questo sta cambiando. Le azioni recenti mostrano un pattern chiaro:

AzioneImportoAnnoMotivo
British Airways£20M2020Violazione — sicurezza insufficiente
Marriott International£18,4M2020Violazione — due diligence carente
LastPass UK£1,2M2025Difetto di progettazione della crittografia
Commissione ElettoraleRilievo da £4,4M2023Server senza patch

Nel 2024 sono stati emessi 67 provvedimenti di enforcement — un record. Il caso LastPass è notevole perché la sanzione riguardava una scelta progettuale, non solo la conseguenza di una violazione. I regolatori hanno esaminato come LastPass aveva costruito il proprio sistema. Si tratta di un elemento nuovo.

Trasferimenti UK–UE: rischio in entrambe le direzioni

Le organizzazioni UK che trattano dati personali di residenti UE hanno obblighi da entrambe le parti.

Dall'UE al UK: L'UE ha concesso al Regno Unito una decisione di adeguatezza nel 2021, ancora valida. Ma è oggetto di contestazione legale. Non fare affidamento su di essa da sola — le clausole contrattuali standard (SCC) sono una garanzia ragionevole.

Dal UK all'UE: Nessuna norma attuale impedisce il trasferimento di dati UK a responsabili del trattamento nell'UE. Ma un responsabile europeo che tratta dati UK potrebbe comunque essere soggetto al GDPR europeo.

Passo pratico: Redigi la tua posizione UK GDPR e quella EU GDPR come due documenti separati. Annota dove coincidono e dove divergono. Questo è il registro di cui avrai bisogno se un'autorità di regolazione lo richiede. La nostra panoramica sulla conformità mappa entrambi i lati.

Per un'analisi approfondita dell'architettura zero-knowledge e di come affronta il rischio di violazione del server identificato nel caso LastPass, leggi la nostra pagina sulla sicurezza e l'architettura della privacy.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.