UK GDPR Post-Brexit: Divergenza e Continuità
Il Data Protection Act 2018 del Regno Unito, che incorpora il UK GDPR, rispecchia da vicino il GDPR UE — ma con divergenze significative che creano requisiti di conformità distinti per le organizzazioni che operano nel Regno Unito.
Continuità:
- Stesse sei basi giuridiche per il trattamento
- Stessi diritti dei soggetti interessati (accesso, cancellazione, rettifica, portabilità)
- Stesso principio di responsabilità e requisiti di documentazione
- Stessa obbligo di notifica delle violazioni dei dati (72 ore all'ICO)
- Stessi requisiti di protezione dei dati per design e per default
Divergenze:
- Regime di adeguatezza: il Regno Unito ha le proprie decisioni di adeguatezza per i trasferimenti internazionali di dati; l'adeguatezza dell'UE per i trasferimenti di dati dal Regno Unito è mantenuta ma contestata
- Linee guida sull'IA: l'ICO ha emesso linee guida dedicate all'IA (2023-2024) più dettagliate rispetto alle linee guida comparabili dell'EDPB
- Dati biometrici: il trattamento dei dati biometrici nel Regno Unito presenta lievi differenze definitorie
- Eccezioni per la ricerca: le eccezioni per la ricerca e le statistiche del Regno Unito sono leggermente più ampie rispetto agli equivalenti dell'UE
- Cultura di enforcement: l'ICO storicamente si è concentrato su educazione e linee guida prima delle multe; questo sta cambiando con recenti azioni di enforcement di grande portata
Per le organizzazioni che operano sia nell'UE che nel Regno Unito, il UK GDPR crea un obbligo di conformità parallelo che richiede la valutazione sia dei requisiti del GDPR UE che di quelli del UK GDPR — non sono identici.
La Multa ICO a LastPass: Stabilire la Crittografia come Requisito Legale
La multa dell'ICO di dicembre 2025 contro LastPass UK (£1.2M) è il caso di riferimento del UK GDPR per gli standard di crittografia. L'avviso di enforcement ha stabilito diversi principi con ampie implicazioni:
La scoperta principale: L'architettura di crittografia di LastPass — che memorizzava i dati del vault degli utenti con chiavi di crittografia accessibili al server — è stata ritenuta inadeguata ai sensi dell'Articolo 32 del UK GDPR. L'ICO ha constatato che "il titolare del trattamento avrebbe dovuto implementare la crittografia lato client, che avrebbe garantito che anche in caso di violazione del server, i dati del vault degli utenti non sarebbero stati accessibili a parti non autorizzate."
Cosa significa questo: L'ICO ha stabilito che dove esiste un'architettura più rispettosa della privacy (crittografia lato client) e tecnicamente fattibile, l'uso di un'architettura meno rispettosa della privacy (crittografia lato server) potrebbe non soddisfare lo standard delle "misure tecniche appropriate" dell'Articolo 32.
Implicazioni più ampie: Le organizzazioni che memorizzano dati sensibili utilizzando la crittografia lato server — dove i server del fornitore detengono le chiavi di crittografia — potrebbero affrontare l'attenzione dell'ICO in caso di violazione. L'avviso di enforcement afferma esplicitamente che "le misure tecniche devono essere proporzionate al rischio, e dove il rischio di accesso non autorizzato a dati personali sensibili è elevato, la misura appropriata potrebbe richiedere la gestione delle chiavi lato client."
Per gli strumenti di anonimizzazione dei PII: se il servizio di anonimizzazione di un fornitore memorizza il testo in chiaro dei documenti elaborati lato server (per registri di audit, analisi d'uso o funzionalità come la cronologia dei documenti), questo crea un archivio di dati accessibile al server che potrebbe non soddisfare lo standard post-LastPass dell'ICO per i dati sensibili.
Le Linee Guida dell'ICO sull'IA: Requisiti Tecnici per l'IA Generativa
L'ICO ha emesso linee guida complete sull'IA nel 2023-2024, coprendo otto requisiti tecnici specifici per i sistemi di IA generativa — più dettagliate rispetto alle linee guida equivalenti dell'UE:
1. Auditabilità dei dati di addestramento: I sistemi di IA addestrati su dati personali devono avere la provenienza documentata dei dati di addestramento, comprese le procedure di anonimizzazione applicate.
2. Monitoraggio dell'output: I sistemi che generano output di dati personali devono avere controlli di monitoraggio per rilevare e prevenire divulgazioni inappropriate di dati.
3. Limitazione dello scopo nell'addestramento: I dati personali utilizzati per l'addestramento devono essere limitati allo scopo specifico — l'addestramento di IA a scopo generale utilizzando dati dei clienti richiede una base legale esplicita.
4. Diritti individuali nella decisione automatizzata: I sistemi di IA che prendono decisioni significative sugli individui devono implementare controlli tecnici per facilitare i diritti individuali (accesso, spiegazione, contestazione).
5. Audit dei bias: I sistemi che elaborano caratteristiche protette (direttamente o per inferenza) devono avere monitoraggio tecnico dei bias.
6. Minimizzazione dei dati nel fine-tuning: Il fine-tuning sui dati personali deve applicare la minimizzazione prima dell'addestramento — non solo politiche di anonimizzazione ma implementazione tecnica.
7. Conservazione nell'addestramento: I dati personali incorporati nei pesi del modello devono essere indirizzabili per richieste di cancellazione (richieste di salvaguardie tecniche o equivalenti richieste).
8. Diligenza dovuta sui modelli di terze parti: Le organizzazioni che utilizzano sistemi di IA di terze parti devono valutare e documentare la conformità tecnica di tali sistemi a questi requisiti.
Questi otto requisiti creano una checklist di implementazione tecnica per i dispiegamenti di IA nel Regno Unito.
Tendenze di Enforcement dell'ICO: Dalle Linee Guida alle Multe
L'ICO ha storicamente preferito l'educazione e gli avvisi di enforcement a grandi multe. Questo sta cambiando:
- LastPass (Dic 2025): £1.2M — fallimento della sicurezza tecnica (architettura di crittografia)
- Commissione Elettorale (2023): £4.4M di ammonimento (nessuna multa) — fallimento della sicurezza (server non aggiornato)
- British Airways (2019, risolto nel 2020): £20M — violazione dei dati da attacco informatico a causa di sicurezza inadeguata
- Marriott International (2019, risolto nel 2020): £18.4M — violazione dei dati da due diligence inadeguata
L'ICO ha emesso 67 avvisi di enforcement nel 2024 — un record storico — suggerendo una crescente disponibilità a utilizzare l'enforcement formale.
La multa a LastPass è particolarmente significativa perché ha mirato a una decisione sull'architettura di crittografia, non solo a un esito di violazione. Questo suggerisce che l'ICO scrutinizzerà le scelte di design tecnico, non solo la risposta alla violazione.
Implicazioni del Flusso di Dati UK-UE
Le organizzazioni del Regno Unito che servono clienti dell'UE o ricevono dati personali dell'UE affrontano il requisito di conformità duplice:
- Il UK GDPR si applica al trattamento nel Regno Unito
- Il GDPR UE si applica ai dati personali dell'UE
Per i trasferimenti di dati dall'UE al Regno Unito: la decisione di adeguatezza dell'UE per il Regno Unito (concessa nel 2021) rimane valida ma è soggetta a revisione e contestazione legale. Le organizzazioni non dovrebbero fare affidamento esclusivamente sull'adeguatezza del Regno Unito — le clausole contrattuali standard rimangono una salvaguardia aggiuntiva raccomandata.
Per le organizzazioni del Regno Unito che utilizzano servizi cloud basati nell'UE: il trasferimento dal Regno Unito all'UE non è attualmente limitato (nessuna restrizione dell'UE sui flussi di dati dal Regno Unito), ma l'elaborazione dei dati personali del Regno Unito da parte del fornitore di servizi dell'UE potrebbe attivare i requisiti del GDPR UE per il responsabile del trattamento.
Guida pratica: le organizzazioni con flussi di dati UE-Regno Unito dovrebbero documentare separatamente sia la loro posizione di conformità al UK GDPR che quella di conformità al GDPR UE, notando dove sono equivalenti e dove si applicano requisiti specifici del Regno Unito.
Fonti: