Depuis el Brexit el 31 de gener de 2020, el Regne Unit ha mantingut una versió molt similar de GDPR —la "Data Protection Act 2018" (DPA 2018) amb enmienes post-Brexit. Tanmateix, el paregut mai no ha estat perfecte, i la divergència entre la GDPR de la UE i la DPA 2018 del Regne Unit creix cada any.
La Information Commissioner's Office (ICO) del Regne Unit supervisa la conformitat amb la DPA 2018, que és ~95% idèntica a GDPR però amb diferències claus que afecten les transferències transfrontereres.
Diferències Post-Brexit entre UK GDPR i EU GDPR
| Aspecte | UK (DPA 2018) | EU (GDPR) |
|---|---|---|
| Adequacy | Grandfathered fins al 2025 | N/A |
| Transferències UE→UK | Requereixen SCCs | N/A |
| Dret a l'oblit | Sí, però amb més excepcions | Sí, rigorós |
| Consentiment | Menys rigurós | Molt rigurós |
| Cookies | Requereix consentiment, però és més flexible | Requereix consentiment, molt rigurós |
| Multes | £20M o 4% d'ingressos | €20M o 4% d'ingressos |
La Qüestió de l'Adequacy
En 2020, la Comissió Europea va declarar que el Regne Unit tenia un nivell "adequat" de protecció de dades, permetent transferències UE→UK sense SCCs. Tanmateix, aquesta decisió es revisa cada 2 anys:
- 2023 revisió: Renovada fins al 2025
- 2025 revisió: És probable que es renovi, però amb advertències creixents sobre:
- Vigilancia governamental del Reino Unido més gran que la de la UE
- Lleis de seguretat nacional del Reino Unido que permeten govern accés a dades sense ordre de busca
- Sentencies posteriors al Brexit que suggereixen que el nivell de protecció mai no serà idèntic
Implicacions per a les Empreses
Si l'Adequacy es revoca (poc probable però possible):
- Totes les transferències UE→UK requeriran SCCs
- Els SCCs requeriran mesures tècniques post-Schrems II (encriptació end-to-end, anonimització)
- Les empreses britanniques hauran de auditar seus compliments amb la DPA 2018
La ICO va processar 3,247 reclamacions en 2024 i va emetre 34 ordres de compliment, amb multes oscil·lant entre £10K i £20 milions.