UK GDPR Pós-Brexit: Divergência e Continuidade
A Lei de Proteção de Dados do Reino Unido de 2018, que incorpora o UK GDPR, reflete de perto o EU GDPR — mas com divergências significativas que criam requisitos de conformidade distintos para organizações que operam no Reino Unido.
Continuidade:
- Mesmas seis bases legais para processamento
- Mesmos direitos dos titulares de dados (acesso, exclusão, retificação, portabilidade)
- Mesmo princípio de responsabilidade e requisitos de documentação
- Mesma obrigação de notificação de violação de dados (72 horas para o ICO)
- Mesmos requisitos de proteção de dados por design e por padrão
Divergências:
- Regime de adequação: o Reino Unido tem suas próprias decisões de adequação para transferências internacionais de dados; a adequação da UE para transferências de dados do Reino Unido é mantida, mas contestada
- Orientação sobre IA: o ICO emitiu uma orientação dedicada sobre IA (2023-2024) mais detalhada do que a orientação comparável do EDPB
- Dados biométricos: o tratamento de dados biométricos no Reino Unido tem pequenas diferenças definicionais
- Exceções de pesquisa: as exceções de pesquisa e estatísticas do Reino Unido são um pouco mais amplas do que as equivalentes da UE
- Cultura de aplicação: o ICO historicamente focou na educação e orientação antes de multas; isso está mudando com ações de aplicação recentes e significativas
Para organizações que operam tanto na UE quanto no Reino Unido, o UK GDPR cria uma obrigação de conformidade paralela que exige a avaliação dos requisitos do EU GDPR e do UK GDPR — eles não são idênticos.
A Multa do ICO contra a LastPass: Estabelecendo a Criptografia como Requisito Legal
A multa do ICO em dezembro de 2025 contra a LastPass UK (£1,2M) é o caso marco do UK GDPR para padrões de criptografia. O aviso de aplicação estabeleceu vários princípios com amplas implicações:
A descoberta central: A arquitetura de criptografia da LastPass — que armazenava dados do cofre do usuário com chaves de criptografia acessíveis pelo servidor — foi considerada inadequada sob o Artigo 32 do UK GDPR. O ICO concluiu que "o controlador deveria ter implementado criptografia do lado do cliente, o que teria garantido que, mesmo no caso de uma violação do servidor, os dados do cofre do usuário não estivessem acessíveis a partes não autorizadas."
O que isso significa: O ICO estabeleceu que onde uma arquitetura mais preservadora da privacidade existe (criptografia do lado do cliente) e é tecnicamente viável, usar uma arquitetura menos preservadora da privacidade (criptografia do lado do servidor) pode não satisfazer o padrão de "medidas técnicas apropriadas" do Artigo 32.
Implicações mais amplas: Organizações que armazenam dados sensíveis usando criptografia do lado do servidor — onde os servidores do fornecedor mantêm as chaves de criptografia — podem enfrentar o escrutínio do ICO se ocorrer uma violação. O aviso de aplicação afirma explicitamente que "as medidas técnicas devem ser proporcionais ao risco, e onde o risco de acesso não autorizado a dados pessoais sensíveis é alto, a medida apropriada pode exigir gerenciamento de chaves do lado do cliente."
Para ferramentas de anonimização de PII: se o serviço de anonimização de um fornecedor armazena o texto claro dos documentos processados do lado do servidor (para logs de auditoria, análises de uso ou recursos como histórico de documentos), isso cria um armazenamento de dados acessível pelo servidor que pode não atender ao padrão pós-LastPass do ICO para dados sensíveis.
Orientação do ICO sobre IA: Requisitos Técnicos para IA Generativa
O ICO emitiu uma orientação abrangente sobre IA em 2023-2024, cobrindo oito requisitos técnicos específicos para sistemas de IA generativa — mais detalhada do que a orientação equivalente da UE:
1. Auditabilidade dos dados de treinamento: Sistemas de IA treinados com dados pessoais devem ter a proveniência dos dados de treinamento documentada, incluindo os procedimentos de anonimização aplicados.
2. Monitoramento de saída: Sistemas que geram saídas de dados pessoais devem ter controles de monitoramento para detectar e prevenir a divulgação inadequada de dados.
3. Limitação de propósito no treinamento: Dados pessoais usados para treinamento devem ser limitados ao propósito específico — o treinamento de IA de propósito geral usando dados de clientes requer uma base legal explícita.
4. Direitos individuais na tomada de decisões automatizadas: Sistemas de IA que tomam decisões significativas sobre indivíduos devem implementar controles técnicos para facilitar os direitos individuais (acesso, explicação, contestação).
5. Auditoria de viés: Sistemas que processam características protegidas (diretamente ou por inferência) devem ter monitoramento técnico de viés.
6. Minimização de dados na afinação: A afinação em dados pessoais deve aplicar minimização antes do treinamento — não apenas políticas de anonimização, mas implementação técnica.
7. Retenção no treinamento: Dados pessoais incorporados nos pesos do modelo devem ser endereçáveis para pedidos de exclusão (safeguards técnicos ou equivalentes são necessários).
8. Diligência devida do modelo de terceiros: Organizações que usam sistemas de IA de terceiros devem avaliar e documentar a conformidade técnica desses sistemas com esses requisitos.
Esses oito requisitos criam uma lista de verificação de implementação técnica para implantações de IA no Reino Unido.
Tendências de Aplicação do ICO: Da Orientação às Multas
O ICO historicamente preferiu educação e avisos de aplicação a grandes multas. Isso está mudando:
- LastPass (Dez 2025): £1,2M — falha de segurança técnica (arquitetura de criptografia)
- Comissão Eleitoral (2023): £4,4M de reprimenda (sem multa) — falha de segurança (servidor não corrigido)
- British Airways (2019, resolvido em 2020): £20M — violação de dados devido a ataque cibernético por segurança inadequada
- Marriott International (2019, resolvido em 2020): £18,4M — violação de dados devido a diligência inadequada
O ICO emitiu 67 avisos de aplicação em 2024 — um recorde — sugerindo uma crescente disposição para usar a aplicação formal.
A multa da LastPass é particularmente significativa porque visou uma decisão de arquitetura de criptografia, não apenas um resultado de violação. Isso sugere que o ICO irá escrutinar escolhas de design técnico, não apenas a resposta a violações.
Implicações do Fluxo de Dados UK-UE
Organizações do Reino Unido que atendem clientes da UE ou recebem dados pessoais da UE enfrentam a dupla obrigação de conformidade:
- O UK GDPR se aplica ao processamento no Reino Unido
- O EU GDPR se aplica a dados pessoais da UE
Para transferências de dados da UE para o Reino Unido: a decisão de adequação da UE para o Reino Unido (concedida em 2021) permanece válida, mas está sujeita a revisão e contestação legal. As organizações não devem confiar totalmente na adequação do Reino Unido — cláusulas contratuais padrão permanecem uma salvaguarda adicional recomendada.
Para organizações do Reino Unido que usam serviços de nuvem baseados na UE: a transferência do Reino Unido para a UE não está atualmente restrita (sem restrições da UE sobre fluxos de dados do Reino Unido), mas o processamento de dados pessoais do Reino Unido pelo fornecedor de serviços da UE pode acionar requisitos do EU GDPR para o processador.
Orientação prática: organizações com fluxos de dados UE-Reino Unido devem documentar separadamente sua postura de conformidade com o UK GDPR e sua postura de conformidade com o EU GDPR, observando onde são equivalentes e onde se aplicam requisitos específicos do Reino Unido.
Fontes: