GDPR del Regne Unit despres del Brexit: Que va canviar
La Llei de Proteccio de Dades i Informacio Digital (DPDI) del Regne Unit del 2025 introdueix 14 canvis a les normes del GDPR de la UE. Aquests creen la primera divergencia real entre la llei de privadesa de la UE i la del Regne Unit des del Brexit. L'acord d'adequacio UE-Regne Unit esta en revisio. El seu resultat afecta qualsevol empresa que transfereixi dades personals entre les dues regions.
La multa a LastPass: un nou llistro tecnic
L'ICO va multar LastPass UK amb 1,2 milions de lliures el desembre del 2025. Es el cas de seguretat tecnica mes gran del Regne Unit fins avui.
L'ICO va identificar dos errors fonamentals.
Xifratge feble: LastPass emmagatzemava els arxius de contrasenyes dels clients amb xifratge antic. L'ICO el va qualificar d'inadequat segons l'article 32 del GDPR del Regne Unit. Alguns arxius usaven PBKDF2-SHA256 amb nomes una iteracio. El NCSC del Regne Unit estableix que les claus de contrasenyes necessiten almenys 600.000 iteracions.
Que exigeix la llei ara: L'article 32 del GDPR del Regne Unit exigeix mesures tecniques adequades que responguin a l'estat de la tecnica. L'ICO va concloure que la derivacio de claus el 2022 necessitava molt mes del que LastPass oferia. El que era acceptable el 2015 no ho era el 2022.
El resultat: el xifratge dels proveïdors es ara un element auditable. Heu de verificar que les vostres eines usen parametres actuals, no baselines antigues. Vegeu el nostre resum de seguretat i compliment per saber com ho gestionem.
Llei DPDI 2025: sis canvis clau
La Llei introdueix 14 canvis identificats a la llei de dades del Regne Unit. Sis tenen impacte directe en el dia a dia.
1. Interessos legitims. La Llei llista els "interessos legitims reconeguts". Aquests salten la prova d'equilibri que la llei de la UE segueix exigint. Aixo facilita l'us d'aquesta base per a les empreses del Regne Unit.
2. Recerca i estadistiques. La Llei amplia l'excepcio per a la recerca. L'us secundari de dades personals per a la recerca requereix menys consentiments que el que la llei de la UE exigeix.
3. Decisions automatitzades. La Llei substitueix l'article 22 de la UE. La nova norma es mes flexible. Algunes decisions automatitzades ja no necessiten una revisio humana significativa.
4. Manteniment de registres. La Llei elimina el registre obligatori d'activitats de processament (ROPA) per a empreses de menys de 250 treballadors sense processament "sistematic". Les normes de la UE exigeixen ROPA per a totes les empreses quan el processament no es occasional.
5. Consentiment de cookies. La Llei redueix les normes de consentiment per a cookies d'analisi. Recolza les opcions "sense cookies". Les normes d'ePrivacy de la UE segueixen exigint consentiment per a cookies de seguiment.
6. Transferencies internacionals. El Secretari d'Estat del Regne Unit obte mes poder per atorgar decisions d'adequacio. El Regne Unit pot aprovar paisos que la UE no ha aprovat. Aixo divideix el marc de transferencies en ambdues bandes.
El risc d'adequacio
La Comissio Europea verificara si la llei del Regne Unit ofereix una proteccio "essencialment equivalent" a les normes de la UE.
Tres arees preocupen els monitors de la UE.
Els interessos legitims mes amplis de la Llei DPDI poden deixar buits que la Comissio qualifiqui d'inadequats. La Llei de Poders d'Investigacio del Regne Unit del 2016 segueix generant preocupacions lligades a la jurisprudencia del TJUE. Els acords Regne Unit-EUA sota la CLOUD Act poden exposar dades de la UE a les forces de l'ordre nord-americanes.
Si l'adequacio es suspengues, mes de 10.000 conjunts de Clausules Contractuals Estandard UE-Regne Unit haurien d'activar-se rapidament. Les empreses que nomes depenen de l'adequacio per a les transferencies UE-Regne Unit enfrontarien buits d'un dia per l'altre. Reviseu la vostra exposicio a la nostra guia de compliment.
Operar sota els dos regims alhora
Per a les empreses sota la llei de la UE i la del Regne Unit, el cami es clar.
Useu la base mes estricta. L'article 32 de la UE, la prova d'interessos legitims de la UE i les normes de decisions automatitzades de la UE son totes mes estrictes que els seus equivalents de la Llei del Regne Unit. Complir les normes de la UE significa complir les del Regne Unit, mes alguns requisits addicionals del Regne Unit.
Documenteu les dues bases juridiques. Per als interessos legitims, registreu tant el resultat de la prova d'equilibri de la UE com la prova que el processament s'enquadra en una categoria reconeguda del Regne Unit. Els registres dobles us protegeixen si les normes divergeixen mes.
Tingueu les SCC preparades. La revisio d'adequacio del 2026 decidira si necessiteu eines de transferencia separades. Mantingueu les Clausules Contractuals Estandard actives com a suport fins i tot mentre useu l'adequacio.
Verifiqueu el xifratge dels proveïdors. El cas LastPass fa del xifratge dels proveïdors un element actiu de compliment. Confirmeu que les eines que gestionen dades personals usen la configuracio actual: AES-256-GCM en repes, argon2id o PBKDF2 amb els comptadors d'iteracio actuals per a la derivacio de claus. Consulteu les nostres FAQ per a preguntes d'auditoria habituals.
La divergencia del Regne Unit es la primera ruptura real en el model de privadesa de la UE. Per a les empreses en ambdues regions, la mesura mes segura es dissenyar per al llistro mes exigent, que segueix sent el marc de la UE.
anonym.legal processa documents en centres de dades Hetzner de la UE amb disseny de coneixement zero. El servidor mai veu el vostre text en pla. Un atac al servidor complet nomes dona text xifrat AES-256-GCM. Necessiteu processament local? L'aplicacio d'escriptori funciona al vostre dispositiu sense connexions externes.