anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

Divergência do GDPR do Reino Unido Pós-Brexit...

A Lei DPDI 2025 faz 14 desvios do GDPR da UE. Decisão de adequação UE-Reino Unido sob revisão em 2026.

June 5, 202610 min de leitura
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

O RGPD britânico após o Brexit: o que mudou

A Lei de Proteção de Dados e Informação Digital (DPDI Act 2025) do Reino Unido introduz 14 alterações às regras do RGPD da UE. Estas criam a primeira divisão real entre a legislação de proteção de dados da UE e do Reino Unido desde o Brexit. O acordo de adequação UE-Reino Unido está sob revisão. O seu resultado interessa a toda empresa que transfere dados pessoais entre as duas regiões.

A multa da LastPass: um novo padrão técnico

O ICO multou a LastPass UK em 1,2 milhões de libras em dezembro de 2025. Este é o caso de segurança técnica mais relevante do ICO até à data.

O ICO encontrou duas falhas fundamentais.

Encriptação fraca: A LastPass armazenava os cofres de senhas dos clientes com encriptação desatualizada. O ICO considerou-a "inadequada" ao abrigo do artigo 32.º do RGPD britânico. Alguns cofres usavam PBKDF2-SHA256 com apenas uma iteração. O NCSC do Reino Unido recomenda pelo menos 600.000 iterações para chaves derivadas de senhas.

O que a lei agora exige: O artigo 32.º do RGPD britânico exige "medidas técnicas adequadas" que reflitam o "estado da arte". O ICO concluiu que a derivação de chaves em 2022 exigia muito mais do que a LastPass forneceu. O que era aceitável em 2015 não o era em 2022.

O resultado: a qualidade de encriptação do fornecedor é agora um elemento de conformidade auditável. As organizações devem verificar que as suas ferramentas usam os parâmetros recomendados atuais — não linhas de base antigas. Consulte a nossa visão geral de segurança e conformidade para ver a nossa abordagem.

DPDI Act 2025: seis alterações principais

A lei introduz 14 alterações identificadas à legislação britânica de dados. Seis têm impacto operacional direto.

1. Interesses legítimos. A lei cria uma lista de "interesses legítimos reconhecidos". Estes não exigem o teste de equilíbrio que o direito da UE ainda impõe. Isto facilita o uso desta base legal pelas empresas britânicas.

2. Investigação e estatísticas. A lei alarga a isenção de investigação. O uso secundário de dados pessoais para investigação requer menos consentimentos do que o direito da UE.

3. Decisões automatizadas. A lei substitui o artigo 22.º do direito da UE. A nova regra é mais permissiva. Algumas decisões automatizadas já não precisam de revisão humana significativa.

4. Manutenção de registos. A lei remove a obrigação de registos de atividades de tratamento (ROPA) para organizações com menos de 250 funcionários sem tratamento "sistemático". As regras da UE exigem ROPA para todas as organizações cujo tratamento não seja ocasional.

5. Consentimento de cookies. A lei reduz os requisitos de consentimento para cookies analíticos. Promove "alternativas sem cookies". As regras de ePrivacy da UE continuam a exigir consentimento para cookies de rastreamento.

6. Transferências internacionais. O Secretário de Estado britânico obtém poderes mais amplos para conceder decisões de adequação. O Reino Unido pode aprovar países que a UE não aprovou. Isto divide o quadro de transferências em ambos os lados.

O risco de adequação

A Comissão Europeia avaliará se a legislação britânica, modificada pelo DPDI Act, oferece proteção "essencialmente equivalente" às regras da UE.

Três áreas preocupam os observadores da UE.

Os interesses legítimos alargados do DPDI Act podem criar lacunas que a Comissão considere inadequadas. O Investigatory Powers Act 2016 do Reino Unido continua a levantar questões relacionadas com a jurisprudência do TJUE. Os acordos Reino Unido-Estados Unidos ao abrigo da CLOUD Act podem expor dados da UE às forças de segurança americanas.

Se a adequação for suspensa, mais de 10.000 conjuntos de cláusulas contratuais padrão UE-Reino Unido precisarão de ativação imediata. As empresas que dependem apenas da adequação para as transferências Reino Unido-UE teriam lacunas de conformidade de um dia para o outro. Consulte o nosso guia de conformidade para avaliar a sua exposição atual.

Gerir ambos os regimes simultaneamente

Para empresas sujeitas ao direito da UE e do Reino Unido, o caminho é claro.

Use a base mais exigente. O artigo 32.º da UE, o teste de interesses legítimos da UE e as regras da UE sobre decisões automatizadas são mais rigorosos do que os seus equivalentes britânicos. Cumprir as normas da UE significa cumprir as normas britânicas, acrescidas de alguns requisitos específicos do Reino Unido.

Documente ambas as bases legais. Para o tratamento baseado em interesses legítimos, registe tanto o resultado do teste de equilíbrio da UE como a prova de que o tratamento se enquadra numa categoria reconhecida no Reino Unido. A documentação dupla protege perante futuras divergências.

Mantenha as CCE prontas. A revisão de adequação de 2026 determinará se são necessários instrumentos de transferência separados. Mantenha as cláusulas contratuais padrão como alternativa mesmo enquanto usa a adequação.

Verifique a encriptação do fornecedor. O caso LastPass torna a encriptação do fornecedor um elemento ativo de conformidade. Confirme que as ferramentas que tratam dados pessoais usam as definições atuais: AES-256-GCM para dados em repouso, argon2id ou PBKDF2 com contagens de iteração atuais para derivação de chaves. Consulte a nossa FAQ para questões frequentes de auditoria.

A rutura britânica pós-Brexit é a primeira fratura real no modelo de proteção de dados da UE. Para empresas presentes em ambas as regiões, a posição mais segura é conceber para o padrão mais exigente — que continua a ser o quadro da UE.

A anonym.legal processa todos os documentos em centros de dados Hetzner baseados na UE com design de conhecimento zero. O servidor nunca vê o seu conteúdo em texto simples. Uma comprometimento total do servidor produz apenas texto cifrado AES-256-GCM. Precisa de processamento local? A aplicação de computador funciona inteiramente no seu dispositivo sem ligações externas.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.