RGPD del Regno Unido Post-Brexit: Divergència i Continuïtat
La Llei de Protecció de Dades del Regno Unido de 2018, que incorpora el RGPD del Regno Unido, reflecteix el RGPD de la UE estretament — però amb divergències significatives que creen requisits de conformitat diferenciats per a les organitzacions que operen al Regno Unido.
Continuïtat:
- Els mateixos sis fonaments legals per al tractament
- Els mateixos drets dels subjectes de dades (accés, supressió, rectificació, portabilitat)
- El mateix principi de responsabilitat i requisits de documentació
- La mateixa obligació de notificació de violació de dades (72 hores al ICO)
- Els mateixos requisits de protecció de dades per disseny i per defecte
Divergències:
- Règim d'adequació: el Regno Unido té les seves pròpies decisions d'adequació per a transferències internacionals de dades; l'adequació de la UE per a transferències de dades del Regno Unido es manté però és contestada
- Orientació de IA: el ICO va emetre orientació dedicada de IA (2023-2024) més detallada que l'orientació comparable de l'EDPB
- Dades biomètriques: el tracte de dades biomètriques del Regno Unido té diferències definitòries menors
- Excepcions de recerca: les excepcions de recerca i estadístiques del Regno Unido són una mica més amples que les equivalents de la UE
- Cultura de control: el ICO històricament s'ha centrat en educació i orientació abans de multes; això està canviant amb accions de control recents grans
Per a les organitzacions que operen tant a la UE com al Regno Unido, el RGPD del Regno Unido crea una obligació de conformitat paral·lela que requereix l'avaluació tant dels requisits del RGPD de la UE com del RGPD del Regno Unido — no són idèntics.
La multa del ICO a LastPass: Establiment de la criptografia com a requisit legal
La multa del desembre de 2025 del ICO contra LastPass UK (£1,2M) és el cas de referència del RGPD del Regno Unido per a estàndards de criptografia. El comunicat de control va establir diversos principis amb implicacions àmplies:
El descobriment central: L'arquitectura de criptografia de LastPass — que emmagatzemava dades de bòveda d'usuari amb claus de criptografia accessibles al servidor — es va considerar inadequada segons l'article 32 del RGPD del Regno Unido. El ICO va trobar que "el responsable hauria d'haber implementat criptografia de costat del client, la qual hauria assegurat que fins i tot en cas de violació del servidor, les dades de bòveda d'usuari no serien accessibles per a parts no autoritzades."
Què significa això: El ICO ha establert que quan una arquitectura més respectuosa amb la privacitat (criptografia de costat del client) existeix i és tècnicament factible, l'ús d'una arquitectura menys respectuosa amb la privacitat (criptografia de costat del servidor) pot no satisfer l'estàndard de "mesures tècniques adequades" de l'article 32.
Implicacions més àmplies: Les organitzacions que emmagatzemen dades sensibles utilitzant criptografia de costat del servidor — on els servidors del proveïdor contenen claus de criptografia — poden enfrontar-se a l'escrutini del ICO si es produeix una violació. El comunicat de control estableix explícitament que "les mesures tècniques han de ser proporcionades al risc, i on el risc d'accés no autoritzat a dades personals sensibles és alt, la mesura adequada pot requerir gestió de claus de costat del client."
Per a les eines d'anonimització de PII: si el servei d'anonimització d'un proveïdor emmagatzema el text pla dels documents processats del costat del servidor (per a registres d'auditoria, analítiques d'ús o funcionalitats com l'historial de documents), això crea una botiga de dades accessible al servidor que pot no complir l'estàndard posterior al LastPass del ICO per a dades sensibles.
Orientació de IA del ICO: Requisits tècnics per a sistemes de IA generativa
El ICO va emetre orientació integral de IA en 2023-2024, cobrint vuit requisits tècnics específics per a sistemes de IA generativa — més detallat que l'orientació equivalent de la UE:
1. Auditabilitat de dades d'entrenament: Els sistemes de IA entrenats en dades personals han de tenir procedència de dades d'entrenament documentada, incloent procediments d'anonimització aplicats.
2. Monitoratge de sortida: Els sistemes que generen sortides de dades personals han de tenir controls de monitoratge per detectar i evitar la divulgació inadequada de dades.
3. Limitació de propòsit en l'entrenament: Les dades personals utilitzades per a l'entrenament han de ser limitades al propòsit específic — l'entrenament de IA d'ús general utilitzant dades de clients requereix fonament legal explícit.
4. Drets individuals en preses de decisions automatitzades: Els sistemes de IA que prenen decisions significatives sobre individus han d'implementar controls tècnics per facilitar drets individuals (accés, explicació, contesta).
5. Auditoria de biaix: Els sistemes que processen característiques protegides (directament o per inferència) han de tenir monitoratge de biaix tècnic.
6. Minimització de dades en afinació: L'afinació en dades personals ha d'aplicar minimització abans de l'entrenament — no només polítiques d'anonimització sinó implementació tècnica.
7. Retenció en entrenament: Les dades personals incorporades a pesos de model han de ser adreçables per a sol·licituds d'esborrat (safeguards tècnics o equivalents requerits).
8. Diligència deguda del model de tercers: Les organitzacions que utilitzen sistemes de IA de tercers han d'avaluar i documentar la conformitat tècnica d'aquests sistemes amb aquests requisits.
Aquests vuit requisits creen una llista de verificació d'implementació tècnica per a desplegaments de IA del Regno Unido.
Tendències de control del ICO: De l'orientació a les multes
El ICO històricament ha preferit l'educació i els comunicats de control a les multes grans. Això està canviant:
- LastPass (desembre de 2025): £1,2M — error de seguretat tècnic (arquitectura de criptografia)
- Comissió Electoral (2023): £4,4M amonestació (sense multa) — error de seguretat (servidor no escalfat)
- British Airways (2019, acordat 2020): £20M — violació de dades per ciberatac per seguretat inadequada
- Marriott International (2019, acordat 2020): £18,4M — violació de dades per diligència deguda inadequada
El ICO va emetre 67 comunicats de control en 2024 — un màxim històric — suggerint una voluntat creixent d'utilitzar control formal.
La multa del LastPass és particularment significativa perquè es va dirigir a una decisió d'arquitectura de criptografia, no només a un resultat de violació. Això suggereix que el ICO escrutinitzarà les opcions de disseny tècnic, no només la resposta a la violació.
Implicacions del flux de dades UE-Reino Unido
Les organitzacions del Regno Unido que serveixen clientes de la UE o que reben dades personals de la UE enfronten-se al requisit de conformitat dual:
- El RGPD del Regno Unido s'aplica al tractament del Reino Unido
- El RGPD de la UE s'aplica a dades personals de la UE
Per a transferències de dades de la UE al Regno Unido: la decisió d'adequació de la UE per al Regno Unido (concedida en 2021) resta vàlida però està subjecta a revisió i desafiament legal. Les organitzacions no han de confiar completament en l'adequació del Regno Unido — les clàusules contractuals estàndard restant són un salvaguard addicional recomanat.
Per a les organitzacions del Regno Unido que utilitzen serveis en el núvol amb base a la UE: la transferència del Regno Unido a la UE no està actualment restringida (sense restriccions de la UE en fluxos de dades del Regno Unido), però el tractament pel proveïdor de serveis de la UE de dades personals del Regno Unido pot activar requisits del RGPD de la UE per al processador.
Orientació pràctica: les organitzacions amb fluxos de dades UE-Regno Unido haurien de documentar la seva posició de conformitat del RGPD del Regno Unido i la seva posició de conformitat del RGPD de la UE per separat, anotant on són equivalents i on s'apliquen requisits específics del Regno Unido.
Fonts: