Cosa è cambiato il 19 giugno
Il Data (Use and Access) Act 2025 ha ricevuto l'assenso reale il 19 giugno 2025 e viene attivato per fasi. Il regolamento di entrata in vigore, SI 2026 n. 82, fissa due date che contano per gli operatori: il 5 febbraio 2026 per il grosso delle modifiche sulla protezione dei dati e il 19 giugno 2026 per il regime dei reclami della sezione 103 e dell'allegato 10.
Da quella seconda data, ogni organizzazione soggetta all'UK GDPR deve gestire una procedura formale per i reclami sulla protezione dei dati. La nuova sezione 164A del Data Protection Act 2018 richiede vie accessibili per reclamare, incluso un modulo elettronico accanto a canali come email e posta, una conferma di ricezione entro 30 giorni e un esito sostanziale comunicato in un linguaggio comprensibile al reclamante, con il rinvio al diritto di rivolgersi all'ICO, l'autorità britannica.
Non esiste un termine di legge per l'esito in quanto tale, ma la bozza di guida dell'ICO raccomanda di chiudere entro tre mesi salvo circostanze eccezionali, e si aspetta un processo in evidenza: facile da trovare, collegato dall'informativa privacy e dal sito. La fase di febbraio ha portato anche gli interessi legittimi riconosciuti come base giuridica, un meccanismo di sospensione dei termini per le richieste di accesso e regole più morbide per alcuni cookie a basso rischio.
La parte silenziosa: multe sul marketing cresciute di 35 volte
Il cambiamento che meno imprenditori hanno notato è arrivato prima. Dal 5 febbraio 2026 i poteri sanzionatori dell'ICO sotto PECR, le regole del marketing diretto elettronico e dei cookie, sono balzati da un tetto di 500.000 sterline ai livelli dell'UK GDPR: fino a 17,5 milioni di sterline o il 4 per cento del fatturato annuo globale, se superiore.
Per anni l'applicazione del PECR è stata un fastidio contenuto: una campagna email con consensi traballanti era al peggio un problema a sei cifre. Quell'asimmetria non c'è più. Una lista marketing con consensi trascurati gioca ora nella stessa categoria sanzionatoria di una violazione di dati, e il nuovo canale di reclamo dà a ogni destinatario infastidito una via formale che, se gestita male, finisce alla porta dell'autorità.
Cosa dovrebbero fare ora le imprese esposte al Regno Unito
Il perimetro è più ampio di quanto molti pensino. L'UK GDPR si applica non solo alle imprese stabilite nel Regno Unito, ma anche a quelle esterne che offrono beni o servizi a persone nel Regno Unito. Il produttore italiano che esporta a Londra, l'e-commerce con clienti britannici, il SaaS con utenti a Manchester: l'obbligo di reclamo li raggiunge tutti.
La costruzione non è pesante, ed è proprio per questo che non averla fa cattiva impressione. Pubblicate una via di reclamo, incluso un modulo elettronico. Collegatela ai processi che già gestite per le richieste GDPR, con un responsabile, un registro e conferme standard che battano l'orologio dei 30 giorni. Tracciate gli esiti rispetto all'aspettativa dei tre mesi e verbalizzate la motivazione di ogni chiusura.
Poi trattate il registro per ciò che è: prova. Ogni reclamo, marca temporale e risposta è un dato che l'ICO può chiedere, e uno schema di reclami ignorati è il caso sanzionatorio più facile che un'autorità possa costruire. Lo stesso registro, letto ogni trimestre, è anche un audit gratuito su dove la vostra gestione dei dati irrita davvero i clienti. Poche incombenze di conformità rendono così tanto.
Da leggere ora: Anche la prima richiesta dati può essere abusiva · Dati illeciti possono vincere in giudizio



