anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

ICO Regne Unit: Diferencies post-Brexit del GDPR

L'ICO va multar LastPass amb 1,2 milions de lliures per xifratge inadequat el desembre del 2025. La resolucio estableix que el xifratge del costat del client es un requisit legal.

June 5, 20267 min llegit
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR despres del Brexit: que ha canviat

La Llei de proteccio de dades del Regne Unit de 2018 va incorporar el UK GDPR a la legislacio. S'assembla molt al GDPR de la UE, pero no en tots els aspectes. Si treballeu tant al Regne Unit com a la UE, heu de superar dues verificacions de compliment separades.

Que s'ha mantingut igual:

  • Sis bases juridiques per al tractament
  • Drets dels interessats: acces, suprimir, rectificacio, portabilitat
  • Notificacio de violacio al regulador en 72 hores
  • Privacitat des del disseny i per defecte

Que ha canviat:

  • El Regne Unit gestiona les seves propies decisions d'adequaciotransfrontereres
  • La guia d'Intel.ligencia Artificial del Regne Unit publicada el 2023-2024 va mes lluny que l'EDPB
  • Les excepcions de recerca del Regne Unit son lleugerament mes amplies que les de la UE
  • El regulador esta passant de l'assessorament previ a les multes, i ho fa mes rapid que abans

La diferencia entre les normes del Regne Unit i de la UE es real. Tracteu-les com dues llistes de verificacio independents.

La multa a LastPass: el xifratge ara es una prova juridica

El desembre del 2025, l'ICO va multar LastPass UK amb 1,2 milions de lliures per un sistema de xifratge defectuos. Es la resolucio de UK GDPR mes important sobre seguretat tecnica fins avui.

El que va trobar el regulador: LastPass emmagatzemava els registres de la cartera amb claus al servidor. Qualsevol persona que acces al servidor podia llegir la cartera. La resolucio va concloure que aixo infringia la prova de "mesures tecniques adequades" de l'article 32 del UK GDPR.

La frase clau de l'aviso: "El responsable hauria d'haver utilitzat xifratge del costat del client. Aixo hauria mantingut els registres de la cartera dels usuaris protegits fins i tot si el servidor hagues estat compromet."

El que s'estableix: Si existeix un disseny mes segur i es pot implementar, utilitzar el mes feble pot ara incomplir l'article 32. La gestio de claus al costat del servidor ja no es un valor per defecte segur per als registres sensibles.

Qui esta en risc: Qualsevol servei que emmagatzemi registres sensibles i mantingui les claus de xifratge als seus propis servidors. Aixo inclou les eines que registren text per a rastres d'auditoria, estadistiques d'us o historial de documents. Si el servidor pot llegir el text, els reguladors podrien preguntar per que no s'ha utilitzat un disseny del costat del client. Vegeu com anonym.legal gestiona aixo amb una arquitectura de zero-coneixement.

Guia d'IA del Regne Unit: vuit normes tecniques

El regulador del Regne Unit va publicar una guia d'IA detallada el 2023-2024. Cobreix vuit requisits especifics per als sistemes d'IA generativa. La guia comparable de la UE es menys detallada.

1. Procedencia de les dades d'entrenament - L'IA entrenada amb registres personals ha de registrar d'on procedien aquestes dades i quins passos es van seguir per netejar-les.

2. Supervisio de sortides - Els sistemes que produeixen sortides personals han de tenir controls per detectar i aturar les revelacions inadequades.

3. Limitacio de finalitat - Els registres utilitzats per a l'entrenament d'IA han de correspondre a la finalitat declarada. L'entrenament general amb registres de clients necessita una base juridica clara.

4. Drets sobre decisions automatitzades - Si la vostra IA pren decisions importants sobre una persona, ha de permetre l'acces, l'explicacio i la impugnacio.

5. Supervisio de biaix - Els sistemes que utilitzen caracteristiques protegides, directament o per inferencia, han de tenir verificacions de biaix.

6. Minimitzacio abans del fine-tuning - Cal reduir els registres personals abans del fine-tuning. Una politica sola no es suficient.

7. Suprimir de pes del model - Si els registres entren als pesos del model, necessiteu un pla per atendre les sol.licituds de suprimir. Calen salvaguardes tecniques o equivalents.

8. Revisio d'IA de tercers - Si feu servir la IA d'una altra empresa, heu de verificar i registrar el seu compliment dels vuit punts.

Aquestes vuit normes constitueixen una llista de verificacio practica per a qualsevol desplegament d'IA al Regne Unit.

Aplicacio al Regne Unit: el canvi cap a les multes

El regulador solia preferir les cartes d'orientacio a les sancions. Aixo esta canviant. Les accions recents mostren un patro clar:

AccioImportAnyMotiu
British Airways20M GBP2020Violacio - seguretat feble
Marriott International18,4M GBP2020Violacio - diligencia inadequada
LastPass UK1,2M GBP2025Falla de disseny de xifratge
Comissio ElectoralAmonestacio de 4,4M GBP2023Servidor sense pedacos

El 2024 es van emetre 67 notificacions d'aplicacio, un record. El cas LastPass es notable perque la multa va ser per una decisio de disseny, no nomes per un resultat de violacio. Els reguladors van escrutinar com LastPass va construir el seu sistema. Aixo es nou.

Transferencies Regne Unit-UE: risc bidireccional

Les organitzacions del Regne Unit que gestionen registres personals de la UE estan subjectes a obligacions d'ambdos costats.

De la UE al Regne Unit: La UE va concedir al Regne Unit una decisio d'adequacio el 2021. Segueix vigent, pero esta sota impugnacio juridica. No hi confieu sola: les clauses contractuals estandard (CCE) son una salvaguarda raonable.

Del Regne Unit a la UE: Cap norma actual impedeix el moviment de registres del Regne Unit a processadors de la UE. Pero un processador de la UE que gestioni registres del Regne Unit pot seguir activant les normes de la UE en el seu extrem.

Pas practic: Redacteu la vostra posicio sobre el UK GDPR i la vostra posicio sobre el GDPR de la UE com a dos documents separats. Anoteu on coincideixen i on difereixen. Aquest es el registre que necessiteu si un regulador us ho pregunta. El nostre resum de compliment mapeja ambdos costats.

Per a un examen mes aprofundit del disseny de zero-coneixement i com aborda el risc de violacio del servidor identificat a LastPass, llegiu la nostra pagina d'arquitectura de seguretat i privacitat.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.