UK GDPR Dopo la Brexit: Cosa è Cambiato
Il Data Protection and Digital Information (DPDI) Act 2025 del Regno Unito introduce 14 modifiche rispetto al GDPR europeo. Queste creano il primo vero divario tra la normativa sulla privacy dell'UE e quella del Regno Unito dalla Brexit. L'accordo di adeguatezza UE-UK è sotto revisione. Il suo esito riguarda ogni azienda che trasferisce dati personali tra le due aree.
La Multa a LastPass: Un Nuovo Standard Tecnico
L'ICO ha multato LastPass UK con £1,2 milioni nel dicembre 2025. Si tratta del più grande caso di sicurezza tecnica mai affrontato nel Regno Unito.
L'ICO ha riscontrato due carenze fondamentali.
Crittografia inadeguata: LastPass conservava i vault delle password dei clienti con una crittografia obsoleta. L'ICO l'ha definita "inadeguata" ai sensi dell'Articolo 32 del UK GDPR. Alcuni vault utilizzavano PBKDF2-SHA256 con una sola iterazione. Il NCSC del Regno Unito raccomanda almeno 600.000 iterazioni per le chiavi delle password.
Cosa richiede ora la legge: L'Articolo 32 del UK GDPR impone "misure tecniche adeguate" allineate allo "stato dell'arte". L'ICO ha stabilito che la derivazione delle chiavi nel 2022 richiedeva standard ben superiori a quelli adottati da LastPass. Ciò che era accettabile nel 2015 non lo era più nel 2022.
Il risultato: la crittografia dei fornitori è ora un elemento verificabile in sede di audit. È necessario controllare che gli strumenti utilizzati adottino parametri aggiornati — non standard obsoleti. Vedere la nostra panoramica sulla sicurezza e la conformità per sapere come gestiamo questo aspetto.
DPDI Act 2025: Sei Modifiche Chiave
Il decreto introduce 14 modifiche identificate alla normativa britannica sui dati. Sei hanno un impatto diretto sulla quotidianità operativa.
1. Interessi legittimi. Il decreto elenca gli "interessi legittimi riconosciuti". Questi esimono dal test di bilanciamento ancora richiesto dalla normativa UE, rendendo tale base giuridica più accessibile per le aziende britanniche.
2. Ricerca e statistica. Il decreto amplia l'esenzione per la ricerca. L'uso secondario dei dati personali a fini di ricerca richiede meno consensi rispetto alla normativa UE.
3. Decisioni automatizzate. Il decreto sostituisce l'Articolo 22 UE con una norma più flessibile. Alcune decisioni automatizzate non richiedono più una revisione umana significativa.
4. Tenuta dei registri. Il decreto elimina l'obbligo del Registro delle Attività di Trattamento (ROPA) per le aziende con meno di 250 dipendenti che non effettuano trattamenti "sistematici". Le norme UE richiedono il ROPA per tutte le aziende il cui trattamento non sia occasionale.
5. Consenso ai cookie. Il decreto riduce le regole sul consenso per i cookie analitici e supporta le opzioni "senza cookie". Le norme ePrivacy dell'UE continuano a richiedere il consenso per i cookie di tracciamento.
6. Trasferimenti internazionali. Il Segretario di Stato britannico ottiene poteri più ampi per concedere decisioni di adeguatezza. Il Regno Unito potrà approvare paesi che l'UE non ha ancora approvato, creando una biforcazione del quadro dei trasferimenti da entrambe le parti.
Il Rischio dell'Adeguatezza
La Commissione europea verificherà se la normativa britannica garantisce una protezione "sostanzialmente equivalente" alle norme UE.
Tre aspetti preoccupano i controllori europei.
Il regime ampliato degli interessi legittimi previsto dal DPDI Act potrebbe lasciare lacune che la Commissione giudica inadeguate. Il Regulation of Investigatory Powers Act 2016 del Regno Unito solleva ancora preoccupazioni legate alla giurisprudenza della CGUE. Gli accordi UK-US ai sensi del CLOUD Act potrebbero esporre i dati UE alle forze dell'ordine statunitensi.
Se l'adeguatezza venisse sospesa, oltre 10.000 set di Clausole Contrattuali Standard UE-UK dovrebbero essere attivati rapidamente. Le aziende che fanno affidamento esclusivamente sull'adeguatezza per i trasferimenti UK-UE si troverebbero di fronte a lacune da un giorno all'altro. Consulta la nostra guida alla conformità per valutare la tua esposizione.
Operare Sotto Entrambi i Regimi Contemporaneamente
Per le aziende soggette sia alla normativa UE che a quella britannica, la strada è chiara.
Adottare lo standard più restrittivo. L'Articolo 32 UE, il test UE sugli interessi legittimi e le norme UE sulle decisioni automatizzate sono tutti più severi dei rispettivi equivalenti britannici. Rispettare le norme UE significa rispettare anche quelle britanniche, con alcune specifiche aggiuntive.
Documentare entrambe le basi giuridiche. Per gli interessi legittimi, registrare sia il risultato del test di bilanciamento UE sia la prova che il trattamento rientra in una categoria riconosciuta dal Regno Unito. La doppia documentazione tutela in caso di ulteriore divergenza normativa.
Tenere le SCC pronte all'uso. La revisione dell'adeguatezza del 2026 stabilirà se sono necessari strumenti di trasferimento separati. Mantenere le Clausole Contrattuali Standard attive come piano di riserva anche durante il periodo di adeguatezza.
Verificare la crittografia dei fornitori. Il caso LastPass rende la crittografia dei fornitori un elemento di conformità concreto. Confermare che gli strumenti che gestiscono dati personali utilizzino impostazioni aggiornate: AES-256-GCM a riposo, argon2id o PBKDF2 con conteggi di iterazione aggiornati per la derivazione delle chiavi. Consulta le nostre FAQ per le domande frequenti in sede di audit.
La separazione britannica è la prima vera frattura nel modello europeo della privacy. Per le aziende presenti in entrambe le aree, la mossa più sicura è progettare per lo standard più esigente — che rimane il quadro normativo dell'UE.
anonym.legal elabora i documenti nei data center Hetzner con sede nell'UE, con un design a conoscenza zero. Il server non vede mai il testo in chiaro. Una violazione completa del server produce solo testo cifrato AES-256-GCM. Hai bisogno di elaborazione locale? L'App Desktop funziona sul tuo dispositivo senza connessioni esterne.