Il Regno Unito ha significativamente riformato la normativa sulla tutela dei dati personali, che, all’indomani del suo recesso dall’Unione europea[1], corrispondeva al Regolamento generale sulla protezione dei dati (GDPR)[2]. Tuttavia, secondo la Commissione europea, il Regno Unito continua a garantire un livello di protezione adeguato.
Società, enti e professionisti nell’Unione europea devono osservare la normativa britannica sui dati personali (come modificata dal DUAA) quando le loro attività ricadono nel suo ambito territoriale di applicazione, anche se non hanno una stabile organizzazione nel Regno Unito.
Ciò si verifica in presenza di una delle seguenti condizioni: si “opera nel Regno Unito” o ci si indirizza ad interessati che si trovano nel Regno Unito (ad esempio, offrendo beni o servizi ad individui nel Regno Unito o monitorandone il comportamento); si svolge marketing digitale rivolto al Regno Unito (email/SMS, telemarketing) o si installano cookie su siti o applicazioni mobili accessibili dal Regno Unito; si forniscono servizi online “verosimilmente accessibili ai minori” nel Regno Unito; si trattano dati personali di persone nel Regno Unito per ricerca o si ricorre a decisioni automatizzate nei confronti di utenti britannici; si scambiano dati personali con partners o società dello stesso gruppo societarie basate nel Regno Unito.
In sintesi, gli operatori e le organizzazioni nell’UE che hanno utenti, clienti, soggetti di ricerca, dipendenti, mailing lists a fini di marketing o flussi di dati che includono il Regno Unito devono tenersi aggiornati sugli sviluppi normativi e regolamentari in materia di data privacy che hanno un impatto sulle loro attività che hanno luogo o sono rivolte ad interessati nel Regno Unito.
Di seguito si esamineranno i punti salienti della nuova normativa britannica, il suo impatto sulle imprese del settore life sciences, e la situazione giuridica del trasferimento di dati personali dall’UE al Regno Unito.
Indice degli argomenti
Adeguatezza Regno Unito dopo la Brexit: quadro e tappe chiave
Il 1° febbraio 2020, con l’entrata in vigore dell’accordo di recesso dall’UE, il Regno Unito è diventato un “paese terzo” (ossia non piú membro dell’UE). Tuttavia, l’accordo di recesso prevedeva un periodo di transizione fino al 31 dicembre 2020 durante il quale nel Regno Unito si doveva applicare il diritto dell’UE nella sua interezza, quindi incluso il GDPR.
Dopodiché i trasferimenti di dati personali da uno Stato membro dell’UE verso il Regno Unito sono divenuti soggetti alle norme del GDPR sui trasferimenti di dati personali verso paesi terzi, ossia erano possibili solo sulla base di garanzie adeguate (clausole contrattuali standard, norme vincolanti d’impresa, codici di condotta o certificazione[3]) o di specifiche deroghe al divieto generale di trasferimento dei dati personali verso paesi che non siano oggetto di una decisione di adeguatezza adottata dalla Commissione europea[4].
Peraltro, ai sensi dell’accordo di recesso, i dati personali degli interessati al di fuori del Regno Unito che erano stati trasmessi al Regno Unito o trattati nel Regno Unito prima della fine del periodo di transizione o dopo la fine del periodo di transizione in virtù dell’accordo di recesso dovevano continuare ad essere trattati nel Regno Unito ai sensi del GDPR anche dopo la fine del periodo di transizione[5].
Il 28 giugno 2021, la Commissione europea ha adottato due decisioni sull’adeguatezza del livello di tutela dei dati personali nel Regno Unito, una ai sensi del GDPR e una ai sensi della Direttiva UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali[6]. Tali decisioni riconoscevano che, all’epoca, il quadro giuridico del Regno Unito in materia di tutela dei dati personali garantiva un livello di protezione dei dati “sostanzialmente equivalente” a quello garantito all’interno dell’UE.
I criteri UE per valutare l’adeguatezza
Ai sensi del GDPR, gli elementi principali presi in considerazione dalla Commissione nell’analizzare l’esistenza di un livello di protezione adeguato sono: (i) lo Stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione pertinente, compresa quella in materia di sicurezza pubblica, difesa, sicurezza nazionale e diritto penale, nonché l’accesso delle autorità pubbliche ai dati personali e l’attuazione di tale legislazione, nonché un ricorso amministrativo e giurisdizionale effettivo per gli interessati i cui dati personali sono oggetto di trasferimento; (ii) l’esistenza e l’efficace funzionamento di una (o più) autorità di controllo indipendenti nel paese terzo; e (iii) gli impegni internazionali derivanti da convenzioni o strumenti giuridicamente vincolanti, nonché dalla partecipazione a sistemi multilaterali o regionali relativi alla protezione dei dati[7], come la Convenzione 108 del Consiglio d’Europa Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale e il relativo Protocollo aggiuntivo[8].
Tuttavia, le decisioni di adeguatezza a favore del Regno Unito erano soggette a un periodo di validità di quattro anni, che sarebbe dovuto scadere il 27 giugno 2025. Durante questi quattro anni, la Commissione avrebbe dovuto monitorare la situazione giuridica nel Regno Unito e sarebbe potuta intervenire in qualsiasi momento qualora il Regno Unito si discostasse dal livello di protezione dei dati che aveva all’indomani della ‘Brexit’. Al termine di tale periodo, le decisioni di adeguatezza avrebbero potuto essere rinnovate a condizione che il Regno Unito avesse continuato a garantire un livello di tutela dei dati personali equivalente a quello dell’UE.
Una simile ‘sunset clause’ non è solitamente presente nelle decisioni di adeguatezza ai sensi del GDPR, le quali, di norma, sono sottoposte a revisioni sistematiche almeno ogni quattro anni. Tuttavia, le preoccupazioni relative alla possibile divergenza normativa del Regno Unito dopo la ‘Brexit’ hanno portato all’inclusione di tale ‘sunset clause’ nelle decisioni di adeguatezza a favore del Regno Unito.
Adeguatezza Regno Unito: proroghe, DUAA e valutazioni UE
Il 24 giugno 2025, la Commissione europea ha adottato due decisioni di proroga di sei mesi (fino al 27 dicembre 2025) delle sue decisioni di adeguatezza del 2021[9]. Il motivo di tale proroga “tecnica” del termine di efficacia delle decisioni di adeguatezza era quello di consentire alla Commissione di valutare l’adeguatezza del regime giuridico di tutela dei dati personali del Regno Unito rispetto agli standards dell’UE una volta che esso fosse divenuto “stabile”, cioè all’esito della riforma in materia di protezione dei dati che era stata intrapresa nel Regno Unito.
Prima di adottare tali decisioni di proroga la Commissione aveva ottenuto un parere favorevole da parte del Comitato europeo per la protezione dei dati (EDPB)[10]. L’EDPB aveva precisato che esso si riservava di pronunciarsi sul livello di protezione nel Regno Unito una volta che la Commissione avesse concluso la sua valutazione dell’adeguatezza. Allo stato, l’EDPB condivideva il razionale della proroga delle decisioni del 2021: attendere il completamento dell’iter legislativo nel Regno Unito, onde evitare di svolgere una valutazione di adeguatezza su un quadro normativo non ancora definito.
Nel contempo, l’EDPB sottolineava che, nel corso della riforma legislativa, restavano in vigore le garanzie di tutela dei dati personali che erano state ritenute adeguate nel 2021. Pertanto, restavano valide le considerazioni svolte dall’EDPB nei suoi precedenti Pareri n. 14/2021 e n. 15/2021. Inoltre, l’EDPB evidenziava il carattere eccezionale di tale proroga “tecnica” delle decisioni di adeguatezza e l’obbligo della Commissione di monitorare da vicino ogni sviluppo normativo del Regno Unito che potesse incidere sull’“equivalenza essenziale” del livello di protezione, adottando misure tempestive se necessario[11].
In effetti, nell’ottobre 2024, il governo britannico aveva presentato un disegno di legge sull’uso e sull’accesso ai dati personali, la ‘Data (Use and Access) Bill’, che proponeva modifiche al ‘GDPR del Regno Unito’ o ‘UK GDPR’ (ossia l’atto di recepimento del GDPR nel Regno Unito a seguito del suo recesso dall’UE[12]) e al Data Protection Act 2018 (DUA 2018)[13]. Il disegno di legge, ora ‘Data (Use and Access) Act’ (DUAA), è stato approvato dal Parlamento britannico l’11 giugno 2025 e ha ricevuto l’approvazione reale il 19 giugno 2025. Il DUAA si basa sulle leggi britanniche esistenti in materia di tutela dei dati, tra cui il DPA 2018, il UK GDPR e i ‘Privacy and Electronic Communications Regulations’ (“PECR”)[14], che rimangono tutti in vigore, aggiungendo nuovi meccanismi per migliorare l’accessibilità dei dati senza compromettere i diritti degli interessati.
Bozze di rinnovo e punti di attenzione dell’EDPB
Il 22 luglio 2025, la Commissione europea ha pubblicato il progetto di decisioni di adeguatezza che rinnovavano il riconoscimento dell’adeguatezza del livello di tutela dei dati personali nel Regno Unito fino al 27 dicembre 2031. In tale progetto la Commissione afferma che, nonostante gli sviluppi legislativi, la valutazione effettuata nel 2021 rimane valida.
La Commissione sostiene che il DUAA ha introdotto modifiche circoscritte al quadro normativo britannico in materia di protezione dei dati, quali, tra l’altro, le norme sul trattamento dei dati a fini di ricerca scientifica, le basi giuridiche per il trattamento dei dati, le norme relative al principio di limitazione delle finalità e le condizioni per il processo decisionale automatizzato, nonché la sostituzione dell’Information Commissioner’s Office (ICO) con un nuovo ente, la Information Commission (IC), quale autorità di controllo indipendente britannica in materia di protezione dei dati.
L’EDPB ha adottato due pareri sulle proposte di decisione della Commissione relative alla proroga fino al dicembre 2031 dell’efficacia delle decisioni di adeguatezza del Regno Unito ai sensi del GDPR e della Direttiva (UE) 2016/680[15]. Con riguardo, in particolare, alla bozza di decisione di adeguatezza del DUUA rispetto al GDPR, l’EDPB ha manifestato le sue preoccupazioni per quanto concerne i nuovi poteri del Segretario di Stato di introdurre modifiche al quadro normativo, attraverso regolamenti secondari con un minore controllo parlamentare, ai trasferimenti internazionali, al processo decisionale automatizzato e alla governance dell’IC.
L’EDPB ha fortemente raccomandato alla Commissione europea di approfondire le sue valutazioni sulle norme relative ai trasferimenti di dati dal Regno Unito, poiché il test prefigurato dalle nuove norme britanniche per il trasferimento transfrontaliero di dati personali (a differenza del GDPR) non fa riferimento al rischio di accesso da parte del Governo, ad un ricorso effettivo per gli individui o alla necessità di un’autorità di controllo indipendente[16]. Argomenti simili sono stati svolti nel parere dell’EDPB sul progetto di decisione di adeguatezza ai sensi della Direttiva (UE) 2016/680.
Adeguatezza del Regno Unito confermata: decisione 2025 e contenuti chiave
Il 19 dicembre 2025 la Commissione ha adottato la Decisione di esecuzione (UE) 2025/2574 (di modifica della precedente Decisione (UE) 2021/1772 in materia di trasferimenti di dati personali verso il Regno Unito), che ha confermato che il Regno Unito continua a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello dell’UE. La conclusione di adeguatezza riguarda i trasferimenti nell’ambito di applicazione del GDPR e si fonda sull’analisi del quadro legislativo britannico come modificato dal DUUA.
La Commissione ha sottolineato che il quadro giuridico del Regno Unito resta fondato sul GDPR del Regno Unito e sul DPA 2018, con modifiche limitate post-Brexit che riflettono l’autonomia del diritto britannico pur mantenendo sostanziale equivalenza con le norme europee sulla tutela dei dati personali. Il ‘Retained EU Law (Revocation and Reform) Act 2023’ (‘REUL Act 2023’) ha rimosso i principi generali dell’UE dall’ordinamento del Regno Unito, ma ha imposto ai giudici del Regno Unito di interpretare il diritto “assimilato” in coerenza con la giurisprudenza della Corte di giustizia dell’UE anteriore alla fine del periodo di transizione, salvaguardando l’allineamento sostanziale. Sono introdotte clausole di prevalenza della normativa privacy su normative future, salvo deroga espressa, a presidio della tutela attuale. Pertanto, la valutazione di adeguatezza del 2021 resta valida per i profili non toccati dai nuovi sviluppi normativi.
Liceità, diritti, finalità e decisioni automatizzate
In particolare,
(i) il quadro giuridico del Regno Unito continua a richiedere liceità e correttezza del trattamento, con basi giuridiche in larga parte identiche al GDPR a cui aggiunge quella degli “interessi legittimi riconosciuti”;
(ii) restano invariate le specifiche tutele per le categorie particolari di dati. Il GDPR del Regno Unito, come modificato dal DUUA, limita l’uso di determinati strumenti di diritto internazionale rilevanti all’Accordo tra Regno Unito e Stati Uniti sull’accesso ai dati elettronici per gravi reati;
(iii) i diritti degli interessati rimangono sostanzialmente equivalenti (accesso, rettifica, cancellazione, opposizione), con chiarimenti operativi sui termini di risposta e sulla gestione delle richieste da parte degli interessati;
(iv) il DUUA chiarisce i presupposti di compatibilità per l’ulteriore trattamento, allineandosi alla struttura dell’art. 6(4) GDPR, comprese finalità di ricerca, archiviazione nel pubblico interesse e statistiche e introduce nuove ipotesi di compatibilità, confermando la coerenza con il GDPR;
(v) viene introdotto un divieto generale per decisioni unicamente automatizzate basate su categorie particolari di dati che producano effetti giuridici o similmente significativi, con tre eccezioni (consenso esplicito; necessità contrattuale; base legale) e, per le ultime due, la necessità di interesse pubblico rilevante;
(vi) la riforma dell’autorità di controllo, l’IC, ne preserva indipendenza, compiti e poteri, con l’introduzione di nuovi poteri di esecuzione e criteri da considerare (innovazione, concorrenza, ordine e sicurezza pubblica, protezione dei minori) in equilibrio con la tutela dei dati personali; l’IC ha compiti strategici e di indirizzo.
Inoltre, la Commissione evidenzia che il Regno Unito resta parte della CEDU e soggetto alla Corte di Strasburgo; tali obblighi internazionali sorreggono il sistema di accesso ai dati da parte delle autorità pubbliche, in linea con i principi comuni agli Stati membri dell’UE.
Intelligence, enforcement e rimedi
Per quanto concerne il trattamento da parte dei servizi di intelligence, la Commissione evidenzia che esso resta regolato nel DPA 2018 in linea con i principi, i diritti e le garanzie preesistenti al DUUA; le modifiche introdotte da quest’ultimo in questa materia sono limitate e chiarificatorie.
Nell’ambito delle attività di trattamento per finalità di enforcement, permangono le basi legali (mandati e ordini di produzione) e le relative garanzie; la legge ‘Investigatory Powers (Amendment) Act 2024’ rafforza e chiarisce alcuni aspetti, inclusa la definizione di “comms data”, ossia i dati relativi alle comunicazioni che dicono “chi, dove, quando e come” di una comunicazione (metadati), piuttosto che al contenuto dei messaggi o delle chiamate. e gli esempi di “autorità legittima”.
Il controllo sulle attività di contrasto e sui poteri investigativi resta affidata a organismi indipendenti (l’IC e l’‘Investigatory Powers Commissioner’ o ‘IPC’)[17], di cui vengono mantenuti indipendenza, mandato e poteri e sono introdotti meccanismi operativi come i “deputy IPC”. L’IPC compie audits e ispezioni in base a criteri di necessità e proporzionalità, disponendo misure correttive ove necessario. L’‘Investigatory Powers Tribunal’ o ‘IPT’ ha registrato un significativo aumento dei ricorsi e, secondo la giurisprudenza CEDU, è accessibile ai singoli ovunque nel mondo in relazione al regime di intercettazione di massa del Regno Unito[18].
Adeguatezza Regno Unito e monitoraggio: sunset clause e poteri UE
Anche la decisione di rinnovo dell’adeguatezza del livello di tutela del Regno Unito reca una ‘sunset clause’: essa sarà efficace fino al 27 dicembre 2031, salvo successiva proroga. La Commissione effettuerà monitoraggio continuativo e riesami almeno ogni quattro anni, coinvolgendo le autorità UK e l’EDPB, e riferirà pubblicamente a Parlamento e Consiglio.
In caso di modifiche alla normativa del Regno Unito suscettibili a rischio l’adeguatezza, la Commissione potrà richiedere misure correttive al governo britannico entro tempi determinati e, se necessario, sospendere, abrogare o modificare la decisione di adeguatezza, anche con atti immediatamente applicabili per urgenza. È previsto un regime di monitoraggio serrato, specialmente sui trasferimenti successivi, sull’effettività dei diritti e sul funzionamento della riformata autorità di controllo (IC), nonché sulle modifiche all’Investigatory Powers Act.
Se le conclusioni circa l’adeguatezza del livello di tutela della privacy nel Regno Unito resteranno giustificate, la Commissione potrà avviare, al più tardi sei mesi prima della scadenza, la proroga dell’applicazione per altri quattro anni.
Per effetto della decisione di adeguatezza del 2025, i titolari e responsabili del trattamento possono trasferire dati personali dall’UE verso il Regno Unito senza che siano necessarie ulteriori garanzie supplementari o deroghe specifiche.
Il 16 ottobre 2025 l’EDPB aveva espresso parere favorevole al progetto di decisione di adeguatezza della Commissione[19], riconoscendo il perdurante allineamento tra normativa del Regno Unito e GDPR,
ma segnalando varie aree da chiarire e monitorare. In particolare, l’EDPB ha richiamato l’attenzione della Commissione sui seguenti aspetti:
(i) il REUL Act 2023 ha rimosso il primato del diritto UE e l’applicazione diretta di alcuni principi generali e diritti della Carta dei diritti fondamentali dell’UE (CDFUE) e occorre, quindi, verificare gli effetti di tali modifiche sul livello di tutela della privacy del Regno Unito;
(ii) il DUUA attribuisce ampi poteri regolamentari al Segretario di Stato, ad esempio, in tema di trasferimenti internazionali, decisioni automatizzate e governance dell’IC, con minore scrutinio parlamentare, di cui occorre vedere l’impatto pratico;
(iii) il trasferimento dei dati personali dal Regno Unito verso paesi terzi diventa possibile a condizione che il livello di tutela garantito da questi ultimi non sia “materialmente inferiore” rispetto agli standards del Regno Unito, con un elenco di fattori indicativi non esaustivo e, rispetto al passato, depurato di elementi rilevanti (ad esempio, le norme del paese terzo in tema di accesso delle autorità, diritti effettivi degli interessati, autorità indipendente) ed è prevista una valutazione della desiderabilità di facilitare i trasferimenti (ancorché si tratti di un fattore accessorio valutabile solo ove i criteri per il trasferimento siano soddisfatti);
(iv) viene chiarito che una decisione è “solo automatizzata” se manca un coinvolgimento umano significativo, ma, come detto, il Segretario di Stato;
(v) in tema di accesso ai dati personali, viene introdotto il criterio delle “ricerche ragionevoli e proporzionate”, con conseguente rischio di limitazioni indebite, anche nei regimi di contrasto e sicurezza nazionale;
(vi) gli avvisi di capacità tecnica (‘Technical Capability Notices’), già previsti dall’IPA 2016, imponendo la capacità di rimuovere la cifratura, possono generare “vulnerabilità sistemiche” e rischi per l’integrità e la riservatezza delle comunicazioni elettroniche[20];
(vii) pure le modifiche introdotte dall’‘Investigatory Powers Amendment Act 2024’ in materia di conservazione ed esame di set di dati personali di massa con “bassa o nulla ragionevole aspettativa di riservatezza” potrebbero presentare profili di rischio.
Il Parere dell’EDPB svolge una digressione interessante: a causa della sovrapposizione dei quadri normativi relativi ai trasferimenti di dati per fini di enforcement dall’UE al Regno Unito e agli Stati Uniti e dal Regno Unito agli Stati Uniti nell’ambito, rispettivamente, dell’Accordo Cloud tra Regno Unito e Stati Uniti[21] e dell’Accordo quadro tra UE e Stati Uniti[22]. I trasferimenti di dati dall’UE verso il Regno Unito potrebbero essere soggetti a ordinanze emesse dalle autorità di contrasto statunitensi. È, quindi, necessario prestare attenzione all’applicazione e all’adeguamento delle garanzie concordate nell’ambito dell’accordo quadro e all’inclusione dell’Accordo tra Regno Unito e Stati Uniti nelle future valutazioni e revisioni delle decisioni di adeguatezza.
Aspetti principali della riforma britannica della tutela dei dati personali
La riforma del Regno Unito punta a conservare un livello elevato di tutela ma con un impianto più proporzionato e orientato al rischio, così da ridurre oneri amministrativi non essenziali, sostenere l’innovazione (anche in ambito IA) e rafforzare l’effettività dei diritti e dell’enforcement, mantenendo come architravi il GDPR del Regno Unito, il DPA 2018 e i PECR.
Il DUAA ha ricevuto l’approvazione reale il 19 giugno 2025. Sebbene alcune delle disposizioni del DUAA siano entrate in vigore automaticamente, molte di esse sono rese efficaci da regolamenti successivi. Il Dipartimento per la Scienza, l’Innovazione e la Tecnologia del Regno Unito ha pubblicato un piano per l’entrata in vigore delle norme del DUAA articolato in quattro fasi, che si concluderà a giugno 2026 (con la nuova procedura dei reclami e la riorganizzazione dell’ICO). In parallelo, si ha luogo l’aggiornamento delle linee guida dell’ICO e dei codici di condotta.
Il Regolamento Commencement No. 6 del 29 gennaio 2026 ha reso efficace, a decorrere dal 5 febbraio 2026, la maggior parte delle modifiche chiave alla normativa britannica in materia di tutela dei dati e privacy nelle comunicazioni elettroniche del DUAA. Esso è stato preceduto dai seguenti regolamenti:
(i) il Commencement No. 1, in vigore dal 20 agosto 2025, per effetto del quale è stata modificata, inter alia, la notifica di violazione dei dati personali ai sensi del PECR in linea con il GDPR del Regno Unito;
(ii) il Commencement No. 2, in vigore dal 30 settembre 2025, ha dato attuazione ad una modifica mirata della conservazione delle informazioni relative alle indagini sulla morte di minori[23];
(iii) il Commencement No. 3, entrato in vigore in due fasi il 5 settembre 2025 e il 17 novembre 2025, ha reso efficace la disciplina sul segreto professionale e sulla sicurezza nazionale, modificando le norme del DPA 2018 sul trattamento dei dati da parte delle forze dell’ordine e dei servizi di intelligence;
(iv) il Commencement No. 4, in vigore dal 1° dicembre 2025, ha implementato la maggior parte della disciplina dei servizi di verifica digitale (ad eccezione delle disposizioni relative alla condivisione di informazioni da parte delle autorità pubbliche con i fornitori di servizi di verifica digitale);
(v) il Commencement No. 5, in vigore dal 6 febbraio 2026, ha reso efficaci la legge sui reati sessuali del 2003, stabilendo nuovi reati relativi alla creazione o alla richiesta di creazione di presunte immagini intime di un adulto senza consenso o ragionevole convinzione nel contesto[24].
Subito dopo l’approvazione reale del DUAA, l’ICO ha annunciato che avrebbe aggiornato le proprie linee guida per riflettere le riforme sul piano legislativo. La prima linea guida ad essere stata aggiornata concerne il diritto di accesso dell’interessato (DSAR).
Di seguito si segnalano le principali modifiche alla disciplina di matrice europea introdotte dal DUAA.
Adeguatezza Regno Unito e decisioni automatizzate: perimetro e garanzie
Il divieto generalizzato di decisioni completamente automatizzate (inclusa la profilazione), ovvero decisioni che non richiedono alcun intervento umano (come quelle demandate all’intelligenza artificiale, AI), che producono effetti giuridici o hanno un impatto significativo sugli interessati, è stato ridimensionato[25].
Salvo nel caso in cui siano trattate categorie particolari di dati personali, il processo decisionale automatizzato diviene possibile in presenza di talune garanzie: trasparenza e ‘spiegabilità’ (l’interessato deve ricevere informazioni sulla decisione presa nei suoi confronti); diritto di opposizione (l’interessato deve poter presentare osservazioni e contestare la decisione automatizzata); diritto dell’interessato di ottenere un intervento umano nella decisione[26]. Per effetto del DUAA, il trattamento di dati personali nell’ambito di un processo decisionale automatizzato si può basare (anche) su un legittimo interesse del titolare (non però su un “interesse legittimo riconosciuto”[27]), sempreché riguardi il trattamento di dati personali ‘ordinari’[28].
Inoltre, il DUAA conferisce poteri al Segretario di Stato di chiarire cosa si intende per “coinvolgimento umano significativo” e “decisione significativa con effetti significativi per l’interessato”.
In pratica, solo le decisioni automatizzate che derivano dal trattamento di categorie particolari di dati personali (come i dati relativi alla salute) richiedono ancora il consenso esplicito, la necessità contrattuale o un’autorizzazione normativa e la necessità per motivi di interesse pubblico rilevante[29].
L’ICO ha annunciato aggiornamenti alla guida su decisioni automatizzate e profilazione con consultazione e adozione in inverno entro quest’anno.
Basi giuridiche: gli interessi legittimi riconosciuti
Si aggiunge una base legale per trattare dati personali (non rientranti in categorie particolari e non relativi a condanne penali o reati), ossia gli “interessi legittimi riconosciuti”. Questa nuova base giuridica si applica esplicitamente alle persone private e non sembra estendersi alle autorità pubbliche. Ove un trattamento di dati sia necessario per soddisfare una di tali condizioni, il titolare non è tenuto a condurre un test di bilanciamento[30], a differenza di quanto previsto per la (distinta) base legale dell’“interesse legittimo”. I cinque “interessi legittimi riconosciuti” (elencati nel nuovo Allegato 1 allo UK GDPR) sono: richiesta di divulgazione per compiti pubblici (applicabile solo alla condivisione di dati con organismi governativi nel Regno Unito); la salvaguardia della sicurezza nazionale, della sicurezza pubblica o scopi di difesa; condizioni di emergenza (la cui nozione si ricava dal ‘Civil Contingencies Act 2004’), come, ad esempio, una minaccia di gravi danni al benessere umano; la necessità di individuare, indagare o prevenire reati (compresa la cattura o il perseguimento dei trasgressori); la tutela delle persone vulnerabili. L’elenco degli interessi legittimi riconosciuti è modificabile per regolamento. L’uso di questa base legale si accompagna a doveri di accountability rafforzati, dovendosi documentare la necessità e la proporzionalità del trattamento dei dati. Il diritto di opposizione sussiste anche nel caso di trattamenti basati su un interesse legittimo riconosciuto (ancorché, com’è noto, esso non sia un diritto assoluto).
Il DUAA eleva al rango del disposto normativo degli esempi di “interesse legittimo” che erano presenti nei recitals dello UK GDPR, come il marketing diretto, la condivisione di dati personali infragruppo per scopi amministrativi e il trattamento in funzione della sicurezza delle reti e dei sistemi informatici. Per avvalersi di tale base giuridica i titolari del trattamento devono compiere il test del bilanciamento.
Compatibilità delle finalità: ricerca, archiviazione, statistiche
Viene chiarito come valutare la compatibilità dei fini ulteriori del trattamento dei dati rispetto a quello della raccolta, indicando fattori aggiuntivi da considerare[31]. Inoltre, vengono enucleate circostanze in cui la valutazione di compatibilità non è richiesta o è semplificata. Un nuovo Allegato 2 allo UK GDPR reca un elenco di categorie specifiche di ulteriori trattamenti considerati compatibili ex lege. I trattamenti ulteriori per finalità di ricerca scientifica, di archiviazione o di analisi statistiche sono considerati compatibili. Tuttavia, se inizialmente i dati personali sono stati raccolti sulla base del consenso degli interessati, il loro riutilizzo per nuove ricerche richiede generalmente un nuovo consenso, poiché non ricade nelle deroghe introdotte dal DUAA. Il titolare dovrà individuare una base giuridica appropriata.
La nozione di “ricerca scientifica” è stata ampliata (pubblica/privata, commerciale/non commerciale)[32] ed è stata introdotta una nuova esenzione dall’obbligo di fornire un’informativa agli interessati, in caso di un ulteriore trattamento a fini di ricerca/archiviazione/statistica quando ciò è impossibile o sproporzionato e purché le informazioni siano rese disponibili pubblicamente. In parallelo, si restringe la definizione di trattamenti dei dati “a fini statistici”, specificando che essi sono volti alla produzione di dati aggregati (non personali) e che il titolare del trattamento non utilizza i dati personali o le informazioni risultanti dal trattamento a sostegno di misure o decisioni relative alle persone fisiche cui si riferiscono i dati.
DSAR: ricerche proporzionate e nuovo reclamo
Viene codificata la prassi dell’ICO per quanto concerne l’esercizio dei diritti degli interessati e le loro DSAR. Il titolare del trattamento è tenuto a svolgere ricerche “ragionevoli e proporzionate” per dare seguito ad una DSAR e il termine per rispondere[33] si arresta (stop the clock) quando servono chiarimenti per identificare i dati pertinenti fino alla ricezione delle informazioni [34]. È previsto un nuovo diritto di reclamo degli interessati nei confronti dei titolari del trattamento. Un siffatto reclamo non deve necessariamente riguardare l’esercizio di diritti da parte degli interessati o le violazioni della sicurezza dei dati. Dal punto di vista procedurale, i titolari del trattamento devono dare atto della ricezione del reclamo entro trenta giorni e rispondere senza indebito ritardo[35]. Le informative sul trattamento dei dati dovranno indicare questo nuovo diritto degli interessati.
In caso di controversia relativa ad una DSAR, un tribunale può richiedere al titolare del trattamento di mettere le informazioni a disposizione del tribunale stesso per la verifica, anziché divulgarle immediatamente all’interessato. Le informazioni verranno divulgate all’interessato solo dopo che il tribunale si è pronunciato a suo favore. Le informazioni protette dal segreto professionale non devono essere divulgate in risposta ad una DSAR.
Viene attribuito al Segretario di Stato il potere di designare nuove “categorie particolari” di dati personali[36] e attività di trattamento aggiuntive che rientrano nel divieto di trattamento di dati di categoria particolare. Non si possono, invece, rimuovere quelle esplicitamente previste nel GDPR del Regno Unito, salvaguardando così le tutele fondamentali.
Trasferimenti extra-UK: nuovo data protection test
Per i trasferimenti internazionali di dati personali si passa dal test di “equivalenza sostanziale” (secondo il regime UE) a quello del “non materialmente inferiore”: rileva, cioè, che il paese terzo offra garanzie “non materialmente inferiori” agli standards del Regno Unito (il nuovo ‘data protection test’). L’‘esportatore’ dei dati nell’applicare questo nuovo test deve agire ragionevolmente e proporzionalmente. Ciò mostra l’approccio marcatamente risk-based adottato dal DUAA.
Il 15 gennaio 2026 l’ICO ha pubblicato una linea guida aggiornata sui trasferimenti fuori dal Regno Unito (extra-UK), che delinea un test in tre fasi e chiarimenti sulle responsabilità, onward transfer e uso dell’International Data Transfer Agreement (‘IDTA’) del Regno Unito[37] e lo UK International Data Transfer Addendum (‘UK Addendum’) per le Clausole Contrattuali Tipo dell’UE (‘EU SCCs’)[38].
Le tre fasi dell’assessment servono, innanzitutto, a stabilire se ci si trovi di fronte ad un “trasferimento soggetto a restrizioni” e a identificare con chiarezza quale soggetto è responsabile del rispetto del Capo V dello UK GDPR. Solo dopo tale verifica si applica il test sostanziale di tutela (“non materialmente inferiore”), adottando gli strumenti di salvaguardia appropriati.
In concreto, il titolare o responsabile che “inizia” il flusso deve verificare sequenzialmente: (1) se lo UK GDPR si applica al trattamento; (2) se i dati sono resi accessibili o comunicati a un’organizzazione al di fuori del Regno Unito; (3) se il destinatario è una entità giuridicamente distinta dal mittente. Se la risposta è affermativa a tutte e tre le domande, il trasferimento è soggetto al predetto Capo V e occorre adottare una base di trasferimento adeguata (“transfers approved by regulations”, clausole contrattuali approvate, come l’IDTA o lo ‘UK Addendum’ alle SCCs, norme vincolanti d’impresa, codice di condotta o certificazione). Questo test in tre fasi ha una funzione di scoping ex ante e si differenzia dallo standard di “equivalenza sostanziale” di matrice UE, che riguarda invece il livello di protezione che deve essere garantito una volta accertata la sussistenza di un trasferimento soggetto a restrizioni e selezionato il meccanismo di trasferimento. Nel modello britannico, tale standard sostanziale si dimostra tramite una valutazione del trasferimento proporzionata (data protection test) e, se necessario, misure supplementari.
Le modifiche principali rispetto all’approccio basato sul GDPR sono: (i) il perimetro dei trasferimenti si determina anzitutto in base a “chi inizia” il trasferimento e a chi riceve (entità distinta), non alla mera dinamica tecnica di trasmissione. Ne discende, ad esempio, che l’accesso remoto da parte di personale della stessa società all’estero o di una sua filiale non configura, di per sé, un trasferimento soggetto al Capo V, mentre lo è la messa a disposizione di dati a un fornitore fuori dal Regno Unito giuridicamente distinto; (ii) alcuni flussi sono esclusi a monte, riducendo oneri inutili: ad esempio, la “restituzione” di dati da un responsabile nel Regno Unito al relativo titolare extra-UK nell’ambito del medesimo rapporto può non costituire un trasferimento soggetto a restrizioni, mentre l’ingaggio di un sub-responsabile extra-UK da parte del responsabile nel Regno Unito lo è e ricade nel perimetro del Capo V; (iii) una volta che il trasferimento è in scope e non vi sia una approvazione per regolamento (ex ‘decisione di adeguatezza’), l’esportatore individua una salvaguardia contrattuale (IDTA/UK Addendum, BCR…) ed effettua un transfer risk assessment (TRA)[39] per valutare se il paese terzo soddisfa il requisito del “non materialmente inferiore”. Viene, quindi, seguito un approccio esplicitamente risk-based, incentrato su: accesso da parte di autorità pubbliche, possibilità di enforcement dei rimedi, e misure tecnico-organizzative idonee. Secondo la linea guida ICO, le valutazioni del trasferimento svolte in precedenza rimangono in linea di principio riutilizzabili se soddisfano il nuovo “data protection test”, limitando attività di rivalutazione e nuova documentazione.
Si noti che il DUAA ha aggiornato anche la terminologia: le decisioni di adeguatezza sostituite da “transfers approved by regulations” ed è attribuito al Governo britannico il potere di approvare clausole che, da sole, soddisfino il test, eliminando la necessità di un’ulteriore assessment dell’esportatore quando usate tali clausole.
Autorità di controllo: da ICO a Information Commission
L’ICO, da istituzione monocratica, diventerà un’Information Commission con governance collegiale. Ne vengono rafforzati i poteri investigativi (richiesta di documenti specifici, report tecnici indipendenti, avvisi di colloquio, detti interview notices) fatti salvi il legal privilege e il diritto di non auto-incriminazione e i limiti di applicazione dei nuovi poteri di enforcement rispetto a condotte pregresse[40]. Restano altresì disponibili i mezzi di tutela e il diritto di appello sugli avvisi di colloquio.
Restano fermi molti contenuti della normativa di derivazione europea, come il responsabile della protezione dei dati (‘DPO’), il registro delle attività di trattamento (‘RoPA’), la valutazione d’impatto sulla protezione dei dati (‘DPIA’) e i rappresentanti nel Regno Unito; non cambia la definizione di “dato personale”; non si possono respingere richieste di accesso “vessatorie o eccessive”. Inoltre, la disciplina dei trasferimenti internazionali di dati con le relative salvaguardie resta ancora sostanzialmente allineata a quella europea, anche se vengono introdotti una nuova terminologia e un test marcatamente risk-based.
ePrivacy: cookie, opt-out e sanzioni PECR
Per quanto concerne la disciplina e-privacy, vengono ampliate le categorie di cookie che possono essere utilizzati senza il consenso dell’utente: analytics a basso rischio, ossia raccogliere informazioni statistiche per migliorare il servizio; scopi funzionali, cioè il modo in cui il servizio della società dell’informazione (il sito web) viene visualizzato sul dispositivo di un abbonato o di un utente, e laddove l’unico scopo sia quello di localizzare la posizione geografica di un abbonato o di un utente in risposta alla sua comunicazione di emergenza[41]. Il gestore del sito web deve fornire informazioni chiare ed esaurienti sullo scopo del tracciamento e un diritto di opt out gratuito. Coloro che causano o facilitano il posizionamento di cookie e tecnologie di tracciamento da parte di fornitori terzi (ad esempio, i gestori di siti web) diventano direttamente responsabili al pari di chi installa o legge il cookie.
È improbabile che queste modifiche facciano venir meno la necessità dei cookie banners.
Le sanzioni ai sensi dei PECR vengono allineate al regime del GDPR del Regno Unito: fino a 17,5 milioni di sterline o il 4% del fatturato globale (anziché 500.000 sterline), con poteri investigativi o di enforcement dell’ICO estesi anche all’e-privacy.
Il DUAA introduce anche l’obbligo di considerare la privacy e il benessere dei minori per i servizi online “verosimilmente accessibili” ai bambini.
Il DUAA include anche disposizioni con finalità analoghe al Data Act dell’UE, come gli ‘Smart Data Schemes’ (un’estensione del modello ‘Open Banking’ ad altri settori) e i ‘Digital Verification Services’ (registro e trustmark per fornitori certificati), che saranno meglio definiti con legislazione secondaria.
Rilevante è anche l’introduzione di standards comuni per l’interoperabilità e la condivisione delle cartelle cliniche e dei dati socio-sanitari, che i fornitori di servizi IT dovranno rispettare per abilitare la condivisione cross-piattaforma.
Adeguatezza Regno Unito e life sciences: impatti operativi della riforma
Il DUAA offre al settore life sciences un quadro più chiaro e, in alcune aree, più flessibile per facilitare la ricerca e l’innovazione, pur mantenendo tutele efficaci per gli interessati[42]. Una parte sostanziale delle modifiche alle disposizioni sul trattamento dei dati per la ricerca scientifica contenute nello UK GDPR derivano da principi già delineati nei consideranda di tale atto (corrispondenti a quelli del GDPR dell’UE). Tuttavia, rendendo questi principi giuridicamente vincolanti, il DUAA mira a promuovere l’innovazione e a facilitare l’uso secondario dei dati per la ricerca scientifica. Di seguito i profili di maggiore impatto operativo.
Ricerca scientifica, informativa e consenso ampio
Il DUAA attribuisce forza di legge ad una definizione ampia di “ricerca scientifica”, che espressamente include la ricerca commerciale e non commerciale, la ricerca fondamentale e applicata, nonché lo sviluppo e la dimostrazione tecnologica (che possano, ragionevolmente, essere qualificati “scientifici”). In tal modo, viene eliminato ogni dubbio sul fatto che gli studi clinici sponsorizzati dall’industria possano essere considerati ricerca scientifica, soddisfacendo un’esigenza di chiarezza percepita rispetto al GDPR del Regno Unito. Gli studi di sanità pubblica rientrano nella nozione di “ricerca scientifica” se svolti nell’interesse pubblico.
Il DUAA estende le esenzioni previste dal GDPR dall’obbligo di informare gli interessati in merito all’uso secondario dei loro dati personali per finalità scientifiche alle situazioni in cui i dati sono raccolti direttamente dall’interessato. È possibile non fornire ex novo le informative sul trattamento ulteriore dei dati quando ciò sia impossibile o implichi uno sforzo sproporzionato. In tali casi, i diritti degli interessati devono essere tutelati con altri mezzi, inclusa un’adeguata trasparenza mediante pubblicazione. Così, un titolare del trattamento (come il promotore di uno studio clinico) sarà esentato dall’obbligo dell’informativa qualora fornire le informazioni ai singoli interessati sia impossibile o comporterebbe uno sforzo sproporzionato[43]. Sebbene ciò debba essere valutato caso per caso, questa modifica normativa potrebbe essere particolarmente rilevante per i promotori di studi clinici che decidono in un secondo momento di riutilizzare i dati raccolti da attività precedenti per una nuova finalità, ma non possono informare nuovamente gli interessati perché hanno accesso solo a dati pseudonimizzati e non a identificatori diretti (come nomi o recapiti), come richiesto dalla normativa sugli studi clinici.
Parallelamente, viene riconosciuto il “consenso ampio” per la ricerca. In particolare, conferendo efficacia giuridica ai consideranda dello UK GDPR, il DUAA prevede che il consenso sia comunque considerato esplicito e valido anche se di portata più ampia, a condizione che: non fosse possibile per il titolare del trattamento identificare l’esatta finalità della ricerca al momento dell’ottenimento del consenso, la richiesta di consenso per un’area più ampia di ricerca scientifica sia coerente con gli standards etici generalmente riconosciuti nel settore e alle persone sia data la possibilità di acconsentire solo all’uso dei dati per una parte della ricerca. Ciò dovrebbe facilitare l’uso di modelli di consenso più brevi e “a prova di futuro”, anche nei casi in cui le finalità esatte del trattamento non siano ancora definite in modo esplicito ex ante.
Questa impostazione è particolarmente rilevante, ad esempio, per le biobanche di lungo periodo e per i programmi clinici multifase.
Interessi legittimi riconosciuti e popolazioni vulnerabili
La nuova base giuridica degli “interessi legittimi riconosciuti” evita il test di bilanciamento per le finalità incluse nell’elenco normativo (come la salvaguardia di persone vulnerabili). Per gli operatori del settore life sciences, la voce sulla salvaguardia dei vulnerabili può sostenere programmi di monitoraggio della sicurezza dei pazienti in coorti pediatriche o in adulti con deficit cognitivi coinvolti in studi clinici, ferma restando l’analisi di necessità e proporzionalità e gli obblighi di accountability.
Compatibilità, Allegato 5 e ricerche retrospettive
Il DUUA chiarisce come i titolari possano determinare se un ulteriore trattamento dei dati personali sia compatibile con il trattamento originario. Esso stabilisce che i fattori da considerare sono: qualsiasi collegamento tra la prima finalità e la nuova finalità, il contesto e il rapporto tra l’interessato e il titolare del trattamento, la natura del trattamento e se esso riguarda dati sensibili (ossia dati personali di categorie particolari o informazioni relative a condanne penali), le conseguenze della nuova finalità sugli individui e i rischi per costoro, l’esistenza di eventuali misure di salvaguardia, ad esempio la crittografia o la pseudonimizzazione. Inoltre, esso definisce anche scenari specifici in cui il nuovo trattamento sarà compatibile con quello originario, tra cui (come detto) il trattamento a fini di ricerca scientifica o storica, ai fini dell’archiviazione nell’interesse pubblico o ai fini statistici[44].
L’Allegato 5 allo UK GDPR introduce scopi presumibilmente compatibili per i trattamenti ulteriori di dati. Se i dati sono stati raccolti originariamente con il consenso, si può fare affidamento sull’Allegato 5 solo quando non è ragionevole ottenere un ulteriore consenso. Così, ad esempio, la “protezione degli interessi vitali” può giustificare l’uso dei dati dei pazienti per salvaguardare vita o salute in circostanze urgenti (come la gestione di eventi avversi), senza necessità di raccogliere nuovamente il consenso. La maggiore chiarezza sulla compatibilità di un ulteriore trattamento dei dati è particolarmente utile in caso di ricerche retrospettive quando l’ottenimento di un nuovo consenso non sia fattibile (come per i partecipanti deceduti, irreperibili o di numero elevato), fatte salve adeguate garanzie e la documentazione del razionale.
Decisioni automatizzate e dati sanitari
Le maggiori possibilità di ricorrere alle decisioni automatizzate non si applica alle categorie particolari di dati. Per i trattamenti di dati sanitari continuano a valere le restrizioni previgenti (occorre, tipicamente, il consenso esplicito dell’interessato, accompagnato da garanzie adeguate). Strumenti diagnostici basati sull’AI e sistemi di supporto alle decisioni cliniche, che portano a decisioni automatizzate mediante l’uso di dati sanitari non beneficiano, dunque, del regime più permissivo delineato dal DUAA.
Misure di salvaguardia e trattamento di dati particolari per ricerca
Il DUUA semplifica i requisiti aggiuntivi che devono essere soddisfatti quando ci si avvale della condizione per il trattamento di dati personali di categoria particolare consistente nella necessità per finalità di ricerca scientifica o storica, per finalità di archiviazione nell’interesse pubblico o per finalità statistiche. Viene chiarito che il trattamento dei dati personali può essere effettuato per le predette finalità solo se il trattamento comporta la raccolta di dati personali, è effettuato per rendere anonimi i dati o se, senza il trattamento, tali finalità non possono essere soddisfatte. Il DUAA, inoltre, stabilisce le misure di salvaguardia appropriate che devono essere attuate e indica anche casi in cui esse non sono soddisfatte: ad esempio, se il trattamento è suscettibile di causare un danno sostanziale o un disagio sostanziale alla persona fisica a cui si riferiscono i dati personali, o se il trattamento è effettuato allo scopo di prendere decisioni sulla persona cui si riferiscono i dati (a meno che il trattamento non sia finalizzato ad una ricerca medica autorizzata).
Impatti operativi: mappature, procedure e trasferimenti
Sul piano operativo, gli operatori del settore life sciences dovrebbero: (i) mappare i progetti di ricerca e sviluppo per verificare dove il “consenso ampio” o gli “interessi legittimi riconosciuti” possano legittimare i trattamenti, in particolare con popolazioni vulnerabili; (ii) strutturare percorsi di riutilizzo dei dati attraverso l’Allegato 5, documentando i casi in cui ottenere nuovamente il consenso non è ragionevole e predisponendo misure di trasparenza e minimizzazione; (iii) aggiornare le procedure interne sulla gestione delle DSAR, definendo i criteri per valutare in concreto le ricerche proporzionate, le richieste di chiarimenti, le sospensioni ed estensioni dei termini per via della complessità; (iv) aggiornare il template per la valutazione dei trasferimenti extra-UK alla luce del nuovo test “non materialmente inferiore”, con l’adozione di misure supplementari dove necessario; (v) adottare una procedura reclami ai sensi del DUAA in vista della sua prossima entrata in vigore.
Come detto, il DUAA introduce inoltre la possibilità per il Segretario di Stato di introdurre standards informatici armonizzati per l’assistenza sanitaria e sociale agli adulti nel Regno Unito, con l’obiettivo di garantire una maggiore standardizzazione di aspetti quali l’informatica, la funzionalità, la connettività e la sicurezza in tutto il settore, con il Segretario di Stato che ha il compito di vigilare sulla conformità e la facoltà di censurare pubblicamente i fornitori di servizi informatici che ritiene non conformi agli standards informatici. L’obiettivo finale è quello di consentire la condivisione delle cartelle cliniche e dei dati relativi all’assistenza sociale all’interno del Servizio Sanitario Nazionale (NHS) e di creare un’unica cartella clinica digitale accessibile tramite l’applicazione mobile dell’NHS.
Nonostante il DUAA debba ancora essere integrato dalla normativa secondaria e dalle linee guida dell’ICO, esso già mostra chiaramente come il Regno Unito stia tentando di raggiungere un equilibrio delicato tra mantenere la fiducia nella tutela dei dati e al tempo stesso creare un ambiente più flessibile e favorevole all’innovazione. Quanto si è visto poc’anzi circa l’impatto del DUAA nel settore life sciences lo conferma in modo tangibile.
Anche l’UE, con la proposta di riforma del GDPR “Digital Omnibus”, si sta muovendo nella stessa direzione, ma con un approccio diverso sotto vari profili[45].
Pertanto, i titolari e i responsabili del trattamento che trasferiscono dati personali dall’UE al Regno Unito o che sono soggetti sia alla normativa sui dati personali europea che a quella britannica (come accade tipicamente nei gruppi societari multinazionali) devono tener conto delle differenze che si stanno delineando tra i due regimi giuridici. Le decisioni di equivalenza della Commissione europea rendono palese l’esigenza di monitorare la divaricazione tra UE e Regno Unito in ambito data privacy.
Note
[1] A seguito del referendum del 23 giugno 2016, il Regno Unito ha deciso di recedere dall’Unione europea (UE), di cui era Stato membro dal 1973. L’accordo concluso tra l’UE e il Regno Unito stabilisce le condizioni per un “recesso ordinato” del Regno Unito dall’UE, conformemente all’art. 50 del Trattato sull’UE. L’accordo di recesso è stato approvato il 17 ottobre 2019 ed è entrato in vigore il 1° febbraio 2020. V. inter alia N. Lazzerini, ‘L’Accordo sul recesso del Regno Unito di Gran Bretagna e Irlanda del Nord dall’Unione europea e dalla Comunità europea dell’energia atomica’, Osservatorio sulle fonti, 1/2020.
[2] Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in vigore dal 4 mggio 2016.
[3] Gli strumenti che consentono di garantire un’adeguata tutela dei dati personali trasferiti in paesi terzi previste dagli articoli 46 e 47 GDPR sono: le clausole tipo di protezione dei dati adottate dalla Commissione europea o da un’autorità di controllo di uno Stato membro e successivamente approvate dalla Commissione europea, le norme vincolanti d’impresa (‘binding corporate rules’ o BCR) approvate dall’autorità di controllo nazionale competente, un codice di condotta elaborato da un’associazione di categoria dei titolari del trattamento o dei responsabili del trattamento approvato dall’autorità di controllo nazionale o una certificazione che attesta la conformità al GDPR dei trattamenti effettuati da titolari del trattamento e da responsabili del trattamento adottata secondo meccanismi di certificazione istituti a livello europeo.
[4] Ai sensi dell’art. 49 GDPR, in mancanza di una decisione di adeguatezza della Commissione o di garanzie adeguate è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo solo in presenza di determinate condizioni, tra cui l’esplicito consenso informato dell’interessato.
[5] V. art. 71 dell’accordo di recesso stipulato dall’UE e dal Regno Unito.
[6] Direttiva (UE) 2016/680 del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, entrata in vigore il 5 maggio 2016.
[7] V. art. 42, par. 2 GDPR.
[8] La Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale è stata sottoscritta il 28 gennaio 1981 (c.d. Convenzione 108) ed è entrata in vigore il 1° ottobre 1985. Il Protocollo addizionale alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale, concernente le autorità di controllo ed i flussi transfrontalieri è stato sottoscritto il 5 marzo 2019 ed è entrato in vigore il 1° luglio 2004.
[9] V. la Decisione di esecuzione (UE) 2025/1226 della Commissione, del 24 giugno 2025, che modifica la decisione di esecuzione (UE) 2021/1772 a norma del GDPR sull’adeguata protezione dei dati personali da parte del Regno Unito, adottata mediante la procedura di comitologia ex art. 93(2) GDPR.
[10] V. il Parere 06/2025 relativo all’estensione delle decisioni di esecuzione della Commissione europea ai sensi del GDPR e della Direttiva (UE) 2016/680 sulla protezione adeguata dei dati personali nel Regno Unito, adottato dall’EDPB il 5 maggio 2025.
[11] In sintesi, il Parere 06/2025 dell’EDPB approva una proroga limitata e mirata, senza rimettere in discussione l’adeguatezza di merito, focalizzandosi invece sulla necessità di attendere un quadro normativo consolidato nel Regno Unito e di assicurare un monitoraggio stretto a livello europeo.
[12] Dopo la ‘Brexit’, il Regno Unito ha recepito il GDPR nella propria legislazione nazionale con alcune modifiche minori per adattarlo al contesto interno. Il ‘GDPR del Regno Unito’ o ‘UK GDPR’, entrato in vigore il 1° gennaio 2021, preservava i principi e i diritti fondamentali stabiliti dal GDPR, garantendo la coerenza degli standards di tutela dei dati all’interno del Regno Unito. In particolare, il ‘GDPR del Regno Unito’ include alcune modifiche minori per adattare il GDPR al contesto nazionale del Regno Unito, fornendo chiarezza e specificità riguardo all’applicazione della normativa sulla protezione dei dati all’interno del Regno Unito.
[13] Il Data Protection Act 2018 (‘DPA 2018’), adottato nel 2018 per adeguare la normativa sulla tutela dei dati nel Regno Unito al GDPR, all’indomani della ‘Brexit’, integrava il regime risultante dallo ‘UK GDPR’. Il DPA 2018 regolava aspetti che in precedenza erano oggetto di deroghe ed esenzioni dal GDPR (ad esempio, motivi di interesse pubblico sostanziale per il trattamento di dati di categorie particolari e deroghe ai diritti degli interessati). Inoltre, il DPA recepiva la Direttiva (UE) 2016/680 nel diritto britannico, creando un regime di protezione dei dati specifico per il trattamento dei dati personali da parte delle autorità di enforcement.
[14] I PECR del Regno Unito sono un insieme di norme che garantiscono agli individui diritti specifici in materia di privacy rispetto alle comunicazioni di marketing elettronico e all’uso dei cookie. Essi, adottati nel 2003, originariamente davano attuazione alla direttiva europea 2002/58/CE, sono rimasti in vigore dopo il recesso del Regno Unito dall’UE e sono stati modificati alcune volte.
[15] I pareri dell’EDPB, richiesti dalla Commissione europea ai sensi dell’art. 70, par. 1, lett. s), GDPR e dell’art. 51, par. 1, lettera g), della Direttiva (UE) 2016/680, riguardano la proposta di proroga di sei anni delle due decisioni di adeguatezza del Regno Unito con scadenza a dicembre 2025.
[16] V. il Parere 26/2025 dell’EDPB del 16 ottobre 2025.
[17] L’IPC è un funzionario indipendente del Regno Unito, responsabile della supervisione dell’utilizzo delle tecniche investigative segrete da parte di oltre 600 autorità pubbliche, tra cui polizia, agenzie di intelligence e consigli comunali. Nominato ai sensi dell’‘Investigatory Powers Act 2016’, l’IPC ha il compito di garantire che la sorveglianza, l’intercettazione e la raccolta di dati personali siano legittime, necessarie e proporzionate.
[18] L’‘Investigatory Powers Tribunal’ o ‘IPT’ è un organo giudiziario indipendente istituito ai sensi del ‘Regulation of Investigatory Powers Act 2000’ (RIPA) per indagare sui reclami relativi alla sorveglianza illegale o ai poteri segreti e invasivi utilizzati dalle autorità pubbliche, compresi i servizi di intelligence e la polizia. L’IPC e l’IPT sono due organismi distinti e indipendenti nel Regno Unito, istituiti per garantire la supervisione e il ricorso in materia di utilizzo di tecniche di sorveglianza e di intelligence da parte delle autorità pubbliche (polizia, servizi di intelligence, ecc.) ai sensi dell’‘Investigatory Powers Act 2016’ (‘IPA 2016’) e del ‘Regulation of Investigatory Powers Act 2000’ (‘RIPA 2000’). La differenza principale è che l’IPC fornisce una supervisione proattiva e sistematica (verificando il corretto funzionamento dei sistemi), mentre l’IPT fornisce un ricorso giudiziario reattivo (indagando su specifiche denunce di illeciti).
[19] V. il Parere 26/2025 in merito al progetto di decisione di esecuzione della Commissione europea ai sensi del GDPR sull’adeguata protezione dei dati personali da parte del Regno Unito.
[20] Il governo britannico avrebbe emesso un avviso di capacità tecnica (‘TCN’) nei confronti di un’impresa tecnologica ai sensi dell’Investigatory Powers Act 2016, che richiederebbe all’impresa di fornire l’accesso ai dati degli utenti in formato decriptato. Nonostante tale potere esistesse già prima della Brexit (e la base giuridica per i TCN esistesse già al momento della precedente decisione di adeguatezza del Regno Unito), l’EDPB ha osservato che questa sembra essere la prima applicazione nota di questo tipo e potrebbe comportare rischi sistemici per la riservatezza dei dati degli utenti. L’EDPB ha quindi incoraggiato la Commissione europea a tener conto dell’uso dei TCN nella sua decisione di adeguatezza.
[21] Il ‘Cloud Act Agreement between the Governments of the U.S., United Kingdom of Great Britain and Northern Ireland’, entrato in vigore il 3 ottobre 2022, è un Accordo sulla condivisione dei dati volto a facilitare le indagini penali transfrontaliere che coinvolgono dati relativi alle comunicazioni. V. T. Christakis, ‘21 Thoughts and Questions about the UK/US CLOUD Act Agreement: (and an Explanation of How it Works – With Charts)’, European Law Blog, October 2019.
[22] L’estensione del Regno Unito al quadro normativo UE-USA sulla protezione dei dati (‘UK-US Data Bridge’), in vigore dal 12 ottobre 2023, consente ai titolari e responsabili del trattamento britannici di trasferire dati personali a organizzazioni statunitensi certificate senza necessità di ulteriori garanzie. Funge da meccanismo di trasferimento valido ai sensi del GDPR britannico, affrontando le precedenti preoccupazioni in materia di privacy attraverso garanzie di sorveglianza rafforzate negli Stati Uniti e un nuovo sistema di ricorso.
[23] È stato modificato sul punto l’‘Online Safety Act 2023’.
[24] V. ‘Guidance: Data Use and Access Act 2025: plans for commencement’ su GOV.UK.
[25] Nel GDPR del Regno Unito il divieto di decisioni meramente automatizzate sussiste salvo eccezioni (consenso esplicito dell’interessato, necessità contrattuale, base legale dell’interesse pubblico rilevante).
[26] Le modifiche al regime del processo decisionale automatizzato sono considerate una delle aree di riforma più significative e dovrebbero consentirne l’uso in ambiti come il reclutamento, dove le basi legali alternative del consenso o la necessità contrattuale sono problematiche.
[27] V. infra.
[28] Per esempio, può essere usato un sistema AI per la preselezione dei candidati, a condizione che siano previste misure di salvaguardia. V. F. Maclean, G. Crawford, A. Smyth, L. Meusburger, ‘Data (Use and Access) Bill: Automated decision-making in the spotlight’, Privacy Laws & Business, January 2025.
[29] Ad esempio, l’utilizzo dei dati sanitari per prendere decisioni automatizzate in materia di valutazione del merito creditizio è vietato anche a seguito del DUAA, a meno che l’interessato non dia il suo esplicito consenso o non si applichi una delle esenzioni previste dalla legge e siano in atto adeguate misure di salvaguardia. Queste ultime devono essere applicate in tutti i casi (indipendentemente dal fatto che si tratti di dati di categorie particolari).
[30] L’“interesse legittimo riconosciuto” è distinto dalla base giuridica dell’interesse legittimo già prevista dal GDPR del Regno Unito. L’ICO ha pubblicato una consultazione su una bozza di guida sugli interessi legittimi riconosciuti (ora chiusa) volta a fornire esempi pratici e chiarezza su come questa base differisca dalla base giuridica dell’“interesse legittimo”. La bozza delle linee guida chiarisce che, quando si fa affidamento su un interesse legittimo riconosciuto, il responsabile deve comunque valutare se il trattamento sia necessario per lo scopo perseguito.
[31] Viene cioè stabilito quando un titolare del trattamento può considerare compatibile un nuovo uso di dati personali con lo scopo originale per cui sono state raccolte.
[32] Il DUAA specifica che “ricerca scientifica” include “qualsiasi ricerca che possa essere ragionevolmente descritta come scientifica, finanziata con fondi pubblici o privati e svolta come attività commerciale o non commerciale”, come ad esempio lo sviluppo o la dimostrazione tecnologica, la ricerca fondamentale o la ricerca applicata (laddove tali attività possano essere ragionevolmente descritte come scientifiche) e gli studi condotti nell’interesse pubblico nel settore della salute pubblica.
[33] Di norma i titolari devono rispondere ad una DSAR entro un mese, ma il periodo può essere prorogato di altri due mesi se la richiesta è complessa.
[34] I titolari devono essere in grado di dimostrare la ragionevolezza della richiesta di chiarimenti per rispondere ad una DSAR.
[35] Le (nuove) disposizioni relative ai reclami degli interessati, che impongono ai titolari del trattamento di prendere atto di un reclamo entro trenta giorni e di rispondere “senza indebito ritardo”, entreranno in vigore il 19 giugno 2026. Il DUAA richiede ai titolari di istituire una procedura per i reclami.
[36] Potrebbe trattarsi di dati relativi alla transizione di genere e taluni dati dei minori o di persone vulnerabili.
[37] L’IDTA è un modello di contratto pubblicato dall’ICO per salvaguardare i dati personali inviati al di fuori del Regno Unito verso paesi terzi che le organizzazioni possono utilizzare per i trasferimenti internazionali di dati. Come le SCC dell’UE, l’IDTA impone obblighi contrattuali agli esportatori e agli importatori di dati, tenendo conto anche della sentenza Schrems II della Corte di giustizia (citata sopra).
[38] Com’è noto, le SCC dell’UE sono contratti standard redatti dalla Commissione europea per salvaguardare i dati personali inviati al di fuori dell’UE verso paesi terzi. Si differenziano dall’IDTA del Regno Unito in quanto adottano un formato modulare e prevedono disposizioni separate per diversi scenari di condivisione dei dati. Non è possibile utilizzare le SCC dell’UE da sole ai sensi della legge britannica sulla protezione dei dati, ma occorre utilizzarle insieme allo UK Addendum. Ad esempio, le multinazionali che operano nel Regno Unito e nelle giurisdizioni del SEE dovranno usare le SCC più lo UK Addendum.
[39] Il DUAA codifica l’obbligo di condurre una TRA per i trasferimenti soggetti a garanzie adeguate, in mancanza di una decisione di adeguatezza (ora regolamento di approvazione), obbligo risultante dalla sentenza Schrems III della Corte di giustizia dell’UE (sentenza del 16 luglio 2020, causa C‑311/18, ECLI:EU:C:2020:559).
[40] La tempistica di entrata in vigore dei nuovi poteri è scaglionata via normativa secondaria.
[41] Attualmente, i PECR richiedono il consenso per l’archiviazione o l’accesso alle informazioni all’interno delle apparecchiature terminali (ad esempio telefoni, browser) tramite cookie, tracker e tecnologie simili. Inoltre, i PECR contemplano un’eccezione per i cookie che: (a) sono “strettamente necessari” affinché l’utente o l’abbonato riceva il servizio che ha richiesto al fornitore di servizi; o (b) hanno il solo scopo di trasmettere una comunicazione attraverso una rete.
[42] V. A. Roussanov, C. Vermosen, J. Castro-Edwards, ‘UK’s Data (Use and Access) Act: What Life Sciences Companies Need to Know’, BioSlice Blog, 5 febbraio 2026.
[43] L’esenzione riguarda il trattamento ulteriore per ricerca, non la raccolta iniziale, ed è quindi meno rilevante negli studi prospettici, ma può facilitare la prosecuzione di analisi retrospettive basate su dati esistenti. V. A. Roussanov, C. Vermosen, J. Castro-Edwards, ‘UK’s Data (Use and Access) Act: What Life Sciences Companies Need to Know’, citato.
[44] A seconda della base giuridica su cui si fonda il trattamento originario, questi possono includere, ad esempio, ulteriori trattamenti a fini di ricerca, archiviazione o statistici, sicurezza pubblica, individuazione, indagine o prevenzione di reati, tutela di persone vulnerabili, accertamento o riscossione di imposte e adempimento di un obbligo legale o di un ordine del tribunale.
[45] V. L. Bolognini, ‘Privacy “tirannica” in Europa? La sfida della riforma del GDPR’, Agenda Digitale, 9 Febbraio 2026, e M. Moretti, GDPR e AI: perché la UE vuole semplificare e cosa rischia di saltare, Agenda Digitale, 9 febbraio 2026.
