Dal 1 Marzo 2000 la tutela dei dati personali in Gran Bretagna è disciplinata dal Data Protection Act 1998 in attuazione della direttiva 95/46/CE. La nuova legge, che è completata da ben 17 regolamenti di attuazione, rafforza ed estende il regime di tutela dei dati personali che in Gran Bretagna era previsto sin dal Telecommunications and Data Protection Act del 1984.

Finalità principale del Data Protection Act 1998 era quella di adeguare la normativa inglese sulla privacy (Data Protection Act 1984) alle disposizioni della direttiva del '95, in tal modo allineandosi, per così dire, agli standard europei in tema di tutela dei dati personali.
Dal confronto tra l'attuale normativa inglese e quella italiana, emerge tuttavia che, anche dopo l'attuazione della direttiva, permangono alcune differenze, a volte anche significative, tra le discipline sulla privacy dei diversi Paesi europei (Si vedano a questo proposito anche gli altri articoli sul tema apparsi in questa sezione di InterLex).

Oggetto e ambito di applicazione
La legge inglese si applica esclusivamente ai dati personali delle persone fisiche, mentre la legge 675/96, prevede, all'art. 1, che la stessa trovi applicazione nei confronti "delle persone giuridiche e di ogni altro ente o associazione".
Vale, anche in Gran Bretagna, il principio della territorialità, per cui la legge sulla privacy trova applicazione rispetto ai trattamenti di dati effettuati sul territorio nazionale, ma con la precisazione che la legge inglese si applica anche laddove il trattamento sia effettuato da un soggetto non stabilito sul territorio nazionale che ricorre, ai fini del trattamento di dati personali, a strumenti situati nel territorio nazionale, a meno che questi non siano utilizzati ai soli fini di transito nel territorio nazionale. In quest'ultima ipotesi il titolare del trattamento è tenuto a nominare un rappresentante stabilito in Gran Bretagna.

Infine, le differenze esistenti circa il trattamento rilevante ai fini dell'applicabilità della legge sono venute meno proprio con la riforma del 1998 che ha esteso la tutela anche a certe forme di archiviazione manuale precedentemente escluse.

I diritti dell'interessato
Il Data Protection Act 1998, part II, attribuisce all'interessato il diritto di accesso ai dati oggetto del trattamento, conformemente all'art. 12 della Direttiva, il diritto di opporsi al trattamento di dati che sia o possa risultare pregiudizievole per l'interessato o per una terza persona, il diritto di opporsi al trattamento di dati condotto per scopi di direct marketing e il diritto a non essere sottoposta a decisioni individuali automatizzate ai sensi dell'art. 15 della direttiva.
Il consenso dell'interessato, che pure è richiesto dalla legge inglese quale condizione per il trattamento dei dati personali, non viene previsto nel corpo della legge, come avviene per la 675/96, bensì nell'allegato (Schedule 2). Così come in allegato sono affermati i principi di qualità nel trattamento dei dati personali (Schedule 1). L'impressione di chi scrive è che in tal modo si perde l'importanza chiave dei principi di qualità nel trattamento dei dati e della necessità del consenso al trattamento.

Gli obblighi del titolare
Il titolare del trattamento dei dati è tenuto a notificare al Commissioner i dati che lo riguardano e a fornire una descrizione generale delle misure di sicurezza adottate, nonché a comunicare le eventuali modifiche che dovessero intervenire successivamente. In certi casi particolari, quando il trattamento dei dati può apparire pregiudizievole, il titolare è tenuto ad astenersi dall'effettuare il trattamento dei dati fino a che il Commissioner non si sia pronunciato sulla notifica, ovvero non sia scaduto il termine dei 28 giorni entro i quali il Commissioner deve esaminare la notifica.

Il trattamento di dati sensibili
In Italia, com'è noto, il trattamento dei dati sensibili è subordinato al consenso scritto dell'interessato e all'autorizzazione preventiva del garante, tranne il caso dei dati personali inerenti alla salute (dove non è necessaria l'autorizzazione del Garante) e dei dati raccolti nell'esercizio della professione di giornalista (dove non è richiesto né il consenso, né l'autorizzazione del Garante). La legge inglese, invece, richiede il consenso dell'interessato, ovvero, in alternativa, che il trattamento sia necessario per adempiere un'obbligazione cui è tenuto il titolare nell'ambito di un rapporto di lavoro, ovvero sia necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona, sia necessario nell'ambito di un procedimento legale, per ottenere consulenza o preparare la difesa, o infine per finalità mediche (Schedule 3).

Due sono le autorità preposte alla tutela dei dati personali in Gran Bretagna: il Data Protection Commissioner e il Data Protection Tribunal.
Il Data Protection Commissioner riceve le notificazioni dei titolari del trattamento di dati personali, ne cura la registrazione e mantiene il registro dei titolari. Le informazioni contenute nel registro sono accessibili al pubblico gratuitamente e senza particolari limiti; dietro retribuzione, è possibile chiedere copia certificata delle informazioni.

Il Commissioner effettua un controllo preventivo circa le notificazioni riguardanti trattamenti di dati che sono o potrebbero essere pregiudizievoli per l'interessato e, entro un periodo di 28 giorni, peraltro prorogabile, invia le proprie conclusioni. Il Commissioner vigila sulla corretta applicazione della legge sulla privacy e invia, nei casi opportuni, notificazioni ai titolari. Ha inoltre funzioni propositive e consultive relativamente ai regolamenti disciplinanti il procedimento di notifica.
Dal 30 Gennaio 2001 il Data Protection Commissioner ha assunto il ruolo di garante della libertà di informazione ed è ora noto come Information Commissioner.