Il Regno Unito è impegnato a mantenere elevati standard di protezione dei dati personali e le aziende possono subire gravi ripercussioni se non rispettano le leggi in materia. Tuttavia, questo impegno è bilanciato dall'obiettivo di incoraggiare l'innovazione, come è particolarmente evidente dall'introduzione del nuovo sistema di protezione dei dati personali. Legge sui dati (uso e accesso) 2025. In questo aggiornamento tratteremo i cambiamenti significativi apportati da questa legislazione e altri importanti aggiornamenti sulla protezione dei dati di cui essere a conoscenza, per mantenere la vostra azienda conforme.
Il GDPR del Regno Unito e la legge sulla protezione dei dati del 2018
Quando si considerano le normative britanniche sulla protezione dei dati, è essenziale prendere in considerazione sia il GDPR che il Data Protection Act 2018, che costituiscono la pietra miliare del regime di protezione dei dati del Regno Unito. Queste leggi stabiliscono come i dati personali debbano essere conservati, elaborati e raccolti.
Il GDPR del Regno Unito è stato introdotto in seguito alla Brexit e delinea diversi principi di trattamento dei dati, tra cui la legittimità, la correttezza e la trasparenza. Stabilisce i diritti delle persone (compresi i diritti di accesso e cancellazione) e le regole per il trasferimento internazionale dei dati. Si applica a tutte le organizzazioni del Regno Unito e alle entità all'estero che trattano i dati personali di persone del Regno Unito.
Il Data Protection Act 2018 integra il GDPR del Regno Unito e include disposizioni come le esenzioni dagli obblighi del GDPR del Regno Unito in alcuni casi.
Legge sui dati (uso e accesso) 2025 (DUAA)
Il DUAA ha ricevuto l'Assenso Reale il 19 giugno 2025 e viene attuato per gradi, con alcune disposizioni già in vigore e altre che dovrebbero entrare in vigore nel corso del prossimo anno. Il DUAA apporta modifiche significative al regime attuale.
Gli obiettivi del DUAA sono incoraggiare l'innovazione, migliorare il quadro di protezione dei dati esistente nel Regno Unito e consentire alle imprese di migliorare i propri servizi mantenendo la protezione dei diritti individuali.
Oltre a garantire la conformità, di cui si parlerà più avanti, le organizzazioni dovrebbero considerare come sfruttare i cambiamenti che supporto innovazione.
L'innovazione
L'ICO accoglie con favore le modifiche apportate dal DUAA e osserva che il DUAA può aiutare le aziende a innovare nei seguenti modi:
1. Ricerca: il chiarimento che il "consenso ampio" può essere dato per un'area di ricerca scientifica quando le organizzazioni utilizzano le informazioni personali ai fini della ricerca.
2. Avvertenze sulla privacy: se la fornitura di un'informativa sulla privacy per il riutilizzo di informazioni personali a fini di ricerca scientifica comporta uno sforzo sproporzionato, le organizzazioni non dovranno più emettere un'informativa, che dovrà comunque essere disponibile sul sito web dell'organizzazione e i diritti saranno tutelati come di consueto.
3. Processo decisionale automatizzato (ADM): le aziende possono fare affidamento sull'intera gamma di basi legali quando utilizzano i dati personali delle persone per prendere decisioni automatizzate su di loro, utilizzando le relative garanzie.
4. Cookie: alcuni tipi di cookie possono essere impostati senza richiedere il consenso, ad esempio quelli utilizzati per raccogliere informazioni per migliorare le funzionalità del sito web.
Cambiamenti chiave
Le principali modifiche apportate dal DUAA includono:
- Processo decisionale automatizzato (ADM): consente alle organizzazioni di prendere decisioni basate solo sull'elaborazione automatizzata in circostanze più ampie, a condizione che siano presenti determinate garanzie. Tali garanzie comprendono l'informazione dell'individuo e il diritto all'intervento umano in relazione al processo decisionale. Tuttavia, esistono restrizioni all'ADM per categorie speciali di dati.
- Accesso al soggettoUna regola di "stop the clock", che consente di sospendere i termini di risposta se sono necessarie ulteriori informazioni da parte del richiedente. Inoltre, quando qualcuno richiede l'accesso ai propri dati, le organizzazioni devono effettuare solo ricerche ragionevoli e proporzionate.
- Interessi legittimi riconosciuti: un nuovo motivo legittimo per il trattamento dei dati personali. Se si applica questo motivo legittimo, non è necessario bilanciare l'impatto sulle persone i cui dati personali vengono utilizzati con i benefici. Di solito questo viene fatto conducendo una valutazione degli interessi legittimi (LIA). Il DUAA stabilisce un elenco di basi pre-approvate, che include la sicurezza nazionale, la risposta alle emergenze e la salvaguardia dei bambini o delle persone a rischio.
- Protezione dei dati dei bambiniQuando forniscono un servizio online che potrebbe essere utilizzato da bambini, le organizzazioni devono considerare come sostenere e proteggere i bambini quando valutano come utilizzare le loro informazioni personali.
- Reclami: l'obbligo di aiutare le persone che desiderano presentare reclami in merito al trattamento dei loro dati personali e un termine per il riconoscimento (entro 30 giorni e per rispondere "senza indebito ritardo").
Nuovi poteri dell'ICO
Le aziende devono sapere che, in base al DUAA, l'ICO sarà ristrutturato in modo paragonabile ad altre autorità di regolamentazione del Regno Unito, con un amministratore delegato e un consiglio di amministrazione. Paul Arnold è stato annunciato come primo amministratore delegato. Anche i poteri dell'ICO sono stati ampliati, con nuovi poteri di indagine e di applicazione, e la possibilità di emettere sanzioni fino a 17,5 milioni di sterline o 4% del fatturato globale. Uno dei nuovi poteri dell'ICO è la possibilità di emettere "avvisi di colloquio" e "avvisi di informazione" con cui l'ICO valuterà se sono state violate le disposizioni in materia di protezione dei dati. L'ICO dovrà bilanciare questi poteri più ampi con i suoi nuovi doveri e obblighi di segnalazione.
È quindi più importante che mai garantire che le organizzazioni siano conformi e possano produrre documenti adeguati e giustificare i loro processi. Per quanto riguarda l'utilizzo dei sistemi di intelligenza artificiale, le aziende devono comprendere i rischi associati, le modalità per mitigarli e i problemi di privacy che potrebbero insorgere.
L'ICO conferma nella sua guida che continuerà a operare come "regolatore affidabile, equo e indipendente" e si concentrerà sul continuare a offrire consulenza e servizi, "riducendo al contempo gli oneri normativi" e incoraggiando "l'innovazione e la crescita".
Garantire la conformità
Comprendere i requisiti
Le aziende dovrebbero rivedere tutte le disposizioni chiave ed essere consapevoli delle modifiche esistenti e future per garantire che le politiche e le pratiche pertinenti siano aggiornate, se necessario. Suggeriamo inoltre alle aziende di leggere la guida appropriata riportata di seguito e di continuare a cercare ulteriori commenti e indicazioni (si noti che ulteriori indicazioni dell'ICO saranno pubblicate a tempo debito).
Capire quali cambiamenti sono applicabili al vostro modello aziendale specifico e quali parti della vostra attività saranno interessate sarà fondamentale per soddisfare i requisiti.
Il DUAA è molto vasto e può valere la pena di richiedere una consulenza legale per assicurarsi che la propria azienda sia in generale conforme alle attuali normative sulla protezione dei dati e che sia pronta per i cambiamenti futuri.
Aggiornamento di politiche, contratti, materiali di formazione e sistemi.
È inoltre importante valutare se è necessario aggiornare il materiale di formazione dei dipendenti e i contratti con i clienti. L'aggiornamento delle politiche e dei contratti non solo contribuisce a garantire la conformità, ma può anche favorire la fiducia dei clienti e ridurre al minimo i rischi.
Esempi specifici di come aggiornare i sistemi e le politiche aziendali:
- Creare un sistema adeguato per gestire i reclami relativi all'uso dei dati, se non è già stato fatto.
- Creare un sistema adeguato per la salvaguardia dei bambini che utilizzano i sistemi online.
- Registrare e mappare tutti i trattamenti basati su interessi legittimi riconosciuti e aggiornare le politiche sulla privacy per rifletterli.
- Esaminare e registrare l'uso dell'IA nel processo decisionale automatizzato da parte della vostra organizzazione, il funzionamento di questi sistemi, i tipi di dati inseriti e la motivazione dell'uso del processo decisionale automatizzato.
- Se si apportano modifiche ai processi per migliorare l'innovazione, aggiornare di conseguenza le politiche sulla privacy e i contratti pertinenti.
- Garantire che le politiche chiariscano quali salvaguardie sono in atto in relazione al processo decisionale automatizzato.
- Considerate la possibilità di nominare un responsabile della protezione dei dati (DPO) per supervisionare gli sforzi di conformità e fungere da punto di contatto per le domande relative ai dati.
Guida del governo: Data (Use and Access) Act 2025: modifiche alla protezione dei dati e alla privacy. GOV.UK
Altre notizie
23andMe
23andMe, una società di test genetici, è stata multata per 2,31 milioni di sterline dall'ICO per aver adottato misure di sicurezza inadeguate a proteggere le informazioni personali. Questo a seguito di un cyberattacco avvenuto nel 2023 che ha portato all'esposizione dei dati personali (compresi quelli genetici) di oltre 150.000 utenti nel Regno Unito e di milioni in tutto il mondo. È stato riferito che, sebbene vi siano state denunce di furto di dati all'inizio del 2023, che sono state respinte come non legittime, non vi è stata alcuna indagine completa fino a quando i dati rubati sono stati messi in vendita su Reddit nell'ottobre 2023. Questo caso sottolinea l'importanza di adottare misure di sicurezza adeguate, come l'autenticazione a più fattori, e di prendere ulteriori precauzioni quando si detengono dati di categoria speciale.
L'UE proroga di 6 mesi le decisioni di adeguatezza per il Regno Unito
La Commissione europea ha prorogato di 6 mesi le decisioni di adeguatezza relative ai trasferimenti di dati con il Regno Unito, con scadenza il 27 dicembre 2025. Ciò consentirà di avere il tempo necessario per la valutazione del DUAA. Per "adeguatezza" l'UE intende la capacità dei Paesi ritenuti in grado di fornire un livello di protezione dei dati "sostanzialmente equivalente" a quello dell'UE.
Internet degli oggetti - Guida ICO aggiornata
L'ICO ha pubblicato una guida aggiornata sul trattamento dei dati personali nei prodotti Internet of Things (IoT) di consumo e sulle modalità di applicazione della legge britannica sulla protezione dei dati e del Privacy and Electronic Communications Regulations 2003. Le tipologie di prodotti IoT di consumo includono lampadine e orologi intelligenti. Consulta la guida completa qui: Informazioni su questa guida | ICO.
Le nuove leggi brasiliane sull'intelligenza artificiale
Il Brasile propone un disegno di legge per la regolamentazione dell'IA incentrato sul rischio e sulla definizione dei diritti individuali. Il testo considera alcuni sistemi di IA come eccessivamente rischiosi, ad esempio quelli che vengono utilizzati per il "social scoring" (l'uso dell'IA per assegnare agli individui un valore in base al loro valore monitorandoli, determinando i vostri diritti).
Come possiamo aiutarvi
Possiamo aiutarvi a capire come le leggi britanniche sui dati si ripercuotono sulla vostra attività e come proteggere al meglio la vostra organizzazione. Se avete bisogno di rivedere o aggiornare le vostre politiche e i vostri contratti, contattate il nostro team.
Olivia Crolla
Avvocato associato
