Il Data Protection and Digital Information (DPDI) Act 2025 del Regno Unito presenta 14 significative divergenze dal GDPR dell'UE — creando la prima divergenza normativa sostanziale tra i quadri di protezione dei dati dell'UE e del Regno Unito dalla Brexit. La decisione di adeguatezza UE-Regno Unito, originariamente valida fino a giugno 2025 e prorogata in attesa di revisione, sta affrontando un crescente scrutinio da parte dei professionisti del GDPR e della Commissione Europea.
L'applicazione di LastPass: Il benchmark tecnico del GDPR del Regno Unito
La multa di £1,2 milioni dell'ICO contro LastPass UK nel dicembre 2025 è il caso di enforcement tecnico più significativo del Regno Unito. L'ICO ha riscontrato:
Inadeguatezza della crittografia: LastPass ha memorizzato i vault delle password master dei clienti con una crittografia obsoleta che l'ICO ha trovato "inadeguata" ai sensi dell'Articolo 32 del GDPR del Regno Unito. In particolare, l'ICO ha riscontrato che alcune iterazioni dei vault utilizzavano PBKDF2-SHA256 con solo 1 iterazione — ben al di sotto della raccomandazione minima di 600.000 iterazioni del NCSC del Regno Unito per le chiavi derivate da password.
Il standard legale stabilito: L'Articolo 32 del GDPR del Regno Unito richiede "misure tecniche appropriate" che riflettano lo "stato dell'arte." L'ICO ha riscontrato che lo "stato dell'arte" per la derivazione delle chiavi di crittografia nel 2022 (quando si è verificata la violazione) richiedeva molto più di quanto fornito da LastPass. Questo stabilisce che gli standard di sicurezza evolvono — ciò che era accettabile nel 2015 potrebbe non essere accettabile nel 2022.
Implicazione diretta per gli strumenti di crittografia: Le organizzazioni che utilizzano strumenti di elaborazione dei dati devono verificare che le implementazioni di crittografia di quegli strumenti soddisfino gli attuali standard "stato dell'arte", non solo gli standard minimi di base. L'applicazione dell'ICO su LastPass rende la qualità della crittografia del fornitore un requisito di conformità direttamente verificabile.
DPDI Act 2025: Divergenze chiave dal GDPR dell'UE
Il DPDI Act presenta 14 divergenze identificate dal GDPR dell'UE. Le più significative a livello operativo:
1. Riforma degli interessi legittimi: Il DPDI Act crea un elenco di "interessi legittimi riconosciuti" che non richiedono il test di bilanciamento del GDPR dell'UE rispetto agli interessi del soggetto dei dati. Questo rende l'interesse legittimo una base legale più accessibile per le organizzazioni del Regno Unito — riducendo i requisiti di consenso per alcune elaborazioni commerciali.
2. Ricerca, statistiche e archiviazione: Il DPDI Act amplia significativamente l'esenzione per la ricerca, consentendo un uso secondario più ampio dei dati personali per scopi di ricerca senza i requisiti di consenso esplicito imposti dal GDPR dell'UE.
3. Decisioni automatizzate: La sostituzione del DPDI Act per l'Articolo 22 del GDPR (diritti di decisione automatizzata) è più permissiva per le decisioni automatizzate commerciali. Il requisito per una revisione umana significativa è allentato per alcune categorie di elaborazione automatizzata.
4. Conservazione dei registri: Il DPDI Act rimuove i requisiti obbligatori di ROPA (registri delle attività di trattamento) per le piccole organizzazioni (sotto i 250 dipendenti) senza elaborazione "sistematica". Il GDPR dell'UE richiede ROPA per tutte le organizzazioni la cui elaborazione non è occasionale.
5. Consenso sui cookie: Il DPDI Act include disposizioni per "alternative senza cookie" e riduce i requisiti di consenso per i cookie analitici — progettati specificamente per ridurre l'onere del banner di consenso sui cookie. I requisiti di ePrivacy del GDPR dell'UE (applicati in parallelo) richiedono comunque il consenso per i cookie di tracciamento.
6. Trasferimenti internazionali: Il DPDI Act conferisce al Segretario di Stato del Regno Unito un'autorità più ampia per concedere decisioni di adeguatezza — consentendo potenzialmente al Regno Unito di concedere adeguatezza a paesi che l'UE non ha, creando quadri di trasferimento divergenti.
Il rischio di adeguatezza: Cosa potrebbe attivare la revisione dell'UE
La revisione di adeguatezza della Commissione UE sul Regno Unito valuterà se il GDPR del Regno Unito (modificato dal DPDI Act) fornisca una protezione "essenzialmente equivalente" al GDPR dell'UE:
Aree di preoccupazione identificate dai monitor UE:
- L'espansione degli interessi legittimi del DPDI Act potrebbe creare lacune che l'UE considera inadeguate
- La legge sulla sorveglianza del Regno Unito (Investigatory Powers Act 2016) rimane incompatibile con gli standard del GDPR secondo il precedente della CJEU in casi correlati
- Gli accordi di condivisione dei dati tra Regno Unito e Stati Uniti ai sensi del CLOUD Act creano potenziali esposizioni dei dati dell'UE all'accesso delle forze dell'ordine statunitensi
Se l'adeguatezza viene sospesa o revocata: oltre 10.000 accordi di Clausola Contrattuale Standard Regno Unito-UE dovrebbero essere attivati immediatamente. Le organizzazioni che attualmente si basano esclusivamente sull'adeguatezza per i trasferimenti Regno Unito-UE si troverebbero di fronte a lacune di conformità.
Mantenere la conformità duale GDPR UE + Regno Unito
Per le organizzazioni soggette sia al GDPR dell'UE che al GDPR del Regno Unito, l'approccio pratico:
Utilizzare lo standard più rigoroso come base: L'Articolo 32 del GDPR dell'UE, il test di bilanciamento degli interessi legittimi del GDPR e i requisiti di decisione automatizzata del GDPR sono più rigorosi rispetto ai loro equivalenti nel DPDI Act. Le organizzazioni che soddisfano gli standard del GDPR dell'UE soddisfano automaticamente anche gli standard del GDPR del Regno Unito (con piccole aggiunte specifiche per il Regno Unito).
Documentare entrambe le basi legali: Per l'elaborazione sotto interessi legittimi, documentare sia il test di bilanciamento del GDPR dell'UE sia che l'elaborazione rientrerebbe negli interessi legittimi riconosciuti dal DPDI Act del Regno Unito. La documentazione duale protegge contro la divergenza.
Monitorare lo stato della decisione di adeguatezza: L'esito della revisione di adeguatezza del 2026 determinerà se sono necessari meccanismi di trasferimento separati per i trasferimenti Regno Unito-UE. Le organizzazioni dovrebbero mantenere le SCC come meccanismo di backup anche se attualmente si basano sull'adeguatezza.
Crittografia allo stato dell'arte attuale: L'applicazione dell'ICO su LastPass rende gli standard di crittografia del fornitore una considerazione attiva di conformità. Verificare che gli strumenti PII, i depositi di dati e le implementazioni di gestione delle chiavi utilizzino parametri raccomandati attuali (AES-256-GCM, argon2id per la derivazione delle chiavi con raccomandazioni sui parametri attuali).
La divergenza del GDPR del Regno Unito dopo la Brexit rappresenta il primo significativo frazionamento degli standard di protezione dei dati dell'UE. Per le organizzazioni che operano in entrambe le giurisdizioni, la postura più sicura è progettare per i requisiti applicabili più rigorosi — che rimangono gli standard tecnici fondamentali del GDPR dell'UE.
Fonti: