O RGPD do Reino Unido após o Brexit: o que mudou
A Lei de Proteção de Dados de 2018 do Reino Unido incorporou o UK GDPR ao direito britânico. Ele se assemelha muito ao RGPD da UE — mas não em todos os aspectos. Se você opera no Reino Unido e na UE, deve cumprir duas listas de verificação distintas.
O que permaneceu igual:
- Seis bases legais para o tratamento
- Direitos dos titulares: acesso, apagamento, retificação, portabilidade
- Notificação de violações ao regulador em 72 horas
- Privacidade desde a conceção e por padrão
O que mudou:
- O Reino Unido emite suas próprias decisões de adequação para transferências internacionais
- As diretrizes britânicas sobre IA de 2023–2024 vão mais longe do que as do EDPB
- As exceções britânicas para pesquisa são ligeiramente mais amplas do que as europeias
- O regulador está a migrar do aconselhamento para multas, mais rapidamente do que antes
A diferença entre as regras do Reino Unido e as da UE é real. Trate-as como duas listas independentes.
A multa à LastPass: a encriptação é agora um requisito legal
Em dezembro de 2025, o ICO aplicou uma multa de 1,2 milhões de libras esterlinas à LastPass UK por uma arquitetura de encriptação deficiente. Esta é a decisão UK GDPR mais importante em matéria de segurança técnica até à data.
O que o regulador constatou: A LastPass armazenava dados dos cofres com chaves geridas no servidor. Qualquer pessoa com acesso ao servidor podia ler o cofre. A decisão concluiu que isto não satisfazia o critério das "medidas técnicas adequadas" do artigo 32.º do UK GDPR.
A frase-chave do aviso: "O responsável pelo tratamento deveria ter utilizado encriptação do lado do cliente. Isto teria protegido os dados dos cofres mesmo em caso de violação do servidor."
O que isto estabelece: Se existe um design mais seguro e é implementável, usar o mais fraco pode agora violar o artigo 32.º. A gestão de chaves no servidor já não é um padrão seguro para dados sensíveis.
Quem está em risco: Qualquer serviço que armazene dados pessoais sensíveis e conserve as chaves de encriptação nos seus próprios servidores. Isto inclui ferramentas que registam texto processado para registos de auditoria, estatísticas de utilização ou histórico de documentos. Se o servidor puder ler o texto, os reguladores podem perguntar por que não escolheu o design do lado do cliente. Veja como a anonym.legal resolve isto com arquitetura de zero conhecimento.
Diretrizes britânicas sobre IA: oito regras técnicas
O regulador britânico publicou diretrizes detalhadas sobre IA em 2023–2024. Abrangem oito requisitos específicos para sistemas de IA generativa. As diretrizes europeias comparáveis são menos detalhadas.
1. Proveniência dos dados de treino — A IA treinada com dados pessoais deve registar a sua origem e os passos de anonimização aplicados.
2. Monitorização de saídas — Os sistemas que produzem saídas pessoais devem ter controlos para detetar e prevenir divulgações inadequadas.
3. Limitação da finalidade — Os dados usados para treino de IA devem corresponder à finalidade declarada. O treino geral com dados de clientes requer uma base legal clara.
4. Direitos em decisões automatizadas — Se a sua IA tomar decisões importantes sobre uma pessoa, deve permitir acesso, explicação e contestação.
5. Monitorização de enviesamentos — Os sistemas que utilizam características protegidas — direta ou por inferência — devem ter controlos técnicos de enviesamento.
6. Minimização antes do ajuste fino — Os dados pessoais devem ser reduzidos antes do fine-tuning. Uma política por si só não é suficiente.
7. Apagamento dos pesos do modelo — Se os dados entrarem nos pesos do modelo, precisa de um plano para responder a pedidos de apagamento.
8. Revisão de IA de terceiros — Se utilizar a IA de outra empresa, deve verificar e documentar a sua conformidade com os oito pontos.
Estas oito regras formam uma lista de verificação prática para qualquer implementação de IA no Reino Unido.
Aplicação no Reino Unido: a viragem para as multas
O regulador costumava preferir cartas de orientação a sanções. Isso está a mudar. As ações recentes mostram um padrão claro:
| Ação | Montante | Ano | Motivo |
|---|---|---|---|
| British Airways | £20 M | 2020 | Violação — segurança fraca |
| Marriott International | £18,4 M | 2020 | Violação — diligência insuficiente |
| LastPass UK | £1,2 M | 2025 | Falha no design de encriptação |
| Electoral Commission | Reprimenda £4,4 M | 2023 | Servidor sem patches |
Em 2024, foram emitidos 67 avisos de aplicação — um recorde. O caso LastPass é notável porque a multa foi por uma decisão de design, não apenas pelo resultado de uma violação. Os reguladores examinaram como a LastPass construiu o seu sistema. Isso é novo.
Transferências UK–UE: risco nos dois sentidos
As organizações do Reino Unido que tratam dados pessoais europeus têm obrigações de ambos os lados.
Da UE para o Reino Unido: A UE concedeu ao Reino Unido uma decisão de adequação em 2021. Continua válida. Mas está a ser contestada juridicamente. Não dependa apenas dela — as cláusulas contratuais-tipo (CCT) são um complemento prudente.
Do Reino Unido para a UE: Não existe restrição atual à transferência de dados britânicos para processadores da UE. Mas um processador europeu que trate dados do Reino Unido pode igualmente gerar obrigações ao abrigo do RGPD da UE.
Passo prático: Redija a sua posição UK GDPR e a sua posição RGPD UE como dois documentos separados. Anote onde coincidem e onde diferem. Este é o registo de que necessitará se um regulador perguntar. A nossa visão geral de conformidade mapeia ambos os lados.
Para uma análise mais aprofundada do design de zero conhecimento e de como aborda o risco de violação de servidor identificado na LastPass, consulte a nossa página de arquitetura de segurança.
Fontes
- ICO: Recursos sobre UK GDPR — VERIFIED-EXTERNAL
- ICO: Aviso de aplicação LastPass, dezembro de 2025 — VERIFIED-EXTERNAL
- ICO: Diretrizes sobre IA e proteção de dados — VERIFIED-EXTERNAL
- ICO: Relatório anual de aplicação 2024 — VERIFIED-EXTERNAL