A Lei de Proteção de Dados e Informação Digital do Reino Unido (DPDI) de 2025 faz 14 desvios significativos do GDPR da UE — criando a primeira divergência regulatória substancial entre os frameworks de proteção de dados da UE e do Reino Unido desde o Brexit. A decisão de adequação UE-Reino Unido, originalmente válida até junho de 2025 e prorrogada enquanto aguarda revisão, enfrenta um escrutínio crescente por parte dos profissionais de GDPR e da Comissão Europeia.
A Execução da LastPass: O Referencial Técnico do GDPR do Reino Unido
A multa de £1,2 milhões imposta pela ICO à LastPass UK em dezembro de 2025 é o caso de execução de segurança técnica mais significativo do Reino Unido. A ICO constatou:
Inadequação da criptografia: A LastPass armazenou cofres de senhas mestres dos clientes com criptografia desatualizada que a ICO considerou "inadequada" sob o Artigo 32 do GDPR do Reino Unido. Especificamente, a ICO descobriu que algumas iterações do cofre usavam PBKDF2-SHA256 com apenas 1 iteração — muito abaixo da recomendação mínima de 600.000 iterações do NCSC do Reino Unido para chaves derivadas de senhas.
O padrão legal estabelecido: O Artigo 32 do GDPR do Reino Unido exige "medidas técnicas apropriadas" que reflitam o "estado da arte." A ICO constatou que o "estado da arte" para a derivação de chaves de criptografia em 2022 (quando a violação ocorreu) exigia muito mais do que a LastPass forneceu. Isso estabelece que os padrões de segurança evoluem — o que era aceitável em 2015 pode não ser aceitável em 2022.
Implicação direta para ferramentas de criptografia: Organizações que utilizam ferramentas de processamento de dados devem verificar se as implementações de criptografia dessas ferramentas atendem aos padrões atuais de "estado da arte", não apenas aos padrões mínimos. A execução da LastPass pela ICO torna a qualidade da criptografia do fornecedor um requisito de conformidade diretamente auditável.
Lei DPDI 2025: Principais Divergências do GDPR da UE
A Lei DPDI faz 14 desvios identificados do GDPR da UE. Os mais significativos operacionalmente:
1. Reforma dos interesses legítimos: A Lei DPDI cria uma lista de "interesses legítimos reconhecidos" que não exigem o teste de equilíbrio do GDPR da UE em relação aos interesses do titular dos dados. Isso torna o interesse legítimo uma base legal mais acessível para organizações do Reino Unido — reduzindo os requisitos de consentimento para alguns processamentos comerciais.
2. Pesquisa, estatísticas e arquivamento: A Lei DPDI amplia significativamente a isenção de pesquisa, permitindo um uso secundário mais amplo de dados pessoais para fins de pesquisa sem os requisitos de consentimento explícito que o GDPR da UE impõe.
3. Tomada de decisão automatizada: A substituição da Lei DPDI para o Artigo 22 do GDPR (direitos de tomada de decisão automatizada) é mais permissiva para decisões automatizadas comerciais. O requisito de revisão humana significativa é relaxado para algumas categorias de processamento automatizado.
4. Manutenção de registros: A Lei DPDI remove os requisitos obrigatórios de ROPA (registros de atividades de processamento) para pequenas organizações (com menos de 250 funcionários) sem processamento "sistemático". O GDPR da UE exige ROPA para todas as organizações cujo processamento não é ocasional.
5. Consentimento de cookies: A Lei DPDI inclui disposições para "alternativas sem cookies" e reduz os requisitos de consentimento para cookies de análise — projetados especificamente para reduzir o ônus do banner de consentimento de cookies. Os requisitos de ePrivacidade do GDPR da UE (aplicados em paralelo) ainda exigem consentimento para cookies de rastreamento.
6. Transferências internacionais: A Lei DPDI confere ao Secretário de Estado do Reino Unido uma autoridade mais ampla para conceder decisões de adequação — permitindo potencialmente que o Reino Unido conceda adequação a países que a UE não concedeu, criando frameworks de transferência divergentes.
O Risco de Adequação: O que Poderia Acionar a Revisão da UE
A revisão de adequação da Comissão da UE sobre o Reino Unido avaliará se o GDPR do Reino Unido (modificado pela Lei DPDI) oferece proteção "essencialmente equivalente" ao GDPR da UE:
Áreas de preocupação identificadas pelos monitores da UE:
- A expansão dos interesses legítimos da Lei DPDI pode criar lacunas que a UE considera inadequadas
- A lei de vigilância do Reino Unido (Lei de Poderes de Investigação de 2016) continua incompatível com os padrões do GDPR de acordo com o precedente do TJUE em casos relacionados
- Os arranjos de compartilhamento de dados Reino Unido-EUA sob a Lei CLOUD criam potencial para exposição de dados da UE ao acesso da aplicação da lei dos EUA
Se a adequação for suspensa ou revogada: Mais de 10.000 arranjos de Cláusula Contratual Padrão Reino Unido-UE precisariam ser ativados imediatamente. Organizações que atualmente dependem exclusivamente da adequação para transferências Reino Unido-UE enfrentariam lacunas de conformidade.
Mantendo a Conformidade Dupla com o GDPR da UE + do Reino Unido
Para organizações sujeitas tanto ao GDPR da UE quanto ao GDPR do Reino Unido, a abordagem prática:
Use o padrão mais rigoroso como base: O Artigo 32 do GDPR da UE, o teste de equilíbrio de interesses legítimos do GDPR e os requisitos de tomada de decisão automatizada do GDPR são mais rigorosos do que seus equivalentes na Lei DPDI. Organizações que atendem aos padrões do GDPR da UE atendem automaticamente aos padrões do GDPR do Reino Unido (com pequenas adições específicas do Reino Unido).
Documente ambas as bases legais: Para o processamento sob interesses legítimos, documente tanto o teste de equilíbrio do GDPR da UE quanto que o processamento se enquadraria nos interesses legítimos reconhecidos pela Lei DPDI do Reino Unido. A documentação dupla protege contra a divergência.
Monitore o status da decisão de adequação: O resultado da revisão de adequação de 2026 determinará se mecanismos de transferência separados são necessários para transferências Reino Unido-UE. Organizações devem manter SCCs como um mecanismo de backup, mesmo que atualmente dependam da adequação.
Criptografia para o estado atual da arte: A execução da LastPass pela ICO torna os padrões de criptografia do fornecedor uma consideração ativa de conformidade. Verifique se as ferramentas de PII, os armazenamentos de dados e as implementações de gerenciamento de chaves usam parâmetros recomendados atuais (AES-256-GCM, argon2id para derivação de chaves com recomendações de parâmetros atuais).
A divergência do GDPR do Reino Unido pós-Brexit representa a primeira fratura significativa dos padrões de proteção de dados da UE. Para organizações que operam em ambas as jurisdições, a postura mais segura é projetar para os requisitos aplicáveis mais rigorosos — que permanecem os padrões técnicos centrais do GDPR da UE.
Fontes: