anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

ICO UK: Diferențele GDPR post-Brexit

ICO a amendat LastPass cu £1,2M pentru criptare inadecvată în decembrie 2025. Decizia stabilește că criptarea pe partea clientului este o cerință legală.

June 5, 20267 min citire
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR după Brexit: Ce s-a schimbat

Legea privind protecția datelor din Regatul Unit din 2018 a introdus UK GDPR în legislație. Aceasta este apropiată de EU GDPR — dar nu în toate privințele. Dacă operați atât în Regatul Unit, cât și în UE, vă confruntați cu două verificări de conformitate separate.

Ce a rămas neschimbat:

  • Șase temeiuri juridice pentru prelucrare
  • Drepturile persoanelor vizate: acces, ștergere, rectificare, portabilitate
  • Notificarea autorității de reglementare cu privire la breșe în 72 de ore
  • Protecția datelor prin design și implicit

Ce s-a schimbat:

  • Regatul Unit emite propriile decizii de adecvare pentru transferurile transfrontaliere
  • Ghidurile UK privind IA emise în 2023–2024 merg mai departe decât cele ale EDPB
  • Excepțiile pentru cercetare din Regatul Unit sunt ușor mai largi decât cele din UE
  • Autoritatea de reglementare trece de la consiliere la amenzi — mai rapid decât înainte

Diferența dintre regulile din Regatul Unit și cele din UE este reală. Tratați-le ca două liste de verificare distincte.

Amenda LastPass: Criptarea este acum un test juridic

În decembrie 2025, ICO a amendat LastPass UK cu £1,2 milioane pentru o configurare defectuoasă a criptării. Aceasta este cea mai importantă decizie UK GDPR privind securitatea tehnică până în prezent.

Ce a constatat autoritatea de reglementare: LastPass stoca înregistrările din seif cu chei gestionate de server. Oricine ajungea la server putea citi seiful. Decizia a constatat că aceasta a încălcat testul „măsurilor tehnice adecvate” din Articolul 32 al UK GDPR.

Fraza cheie din notificare: „Operatorul ar fi trebuit să folosească criptarea pe partea clientului. Aceasta ar fi păstrat înregistrările din seif ale utilizatorilor în siguranță chiar dacă serverul ar fi fost compromis.”

Ce stabilește aceasta: Dacă există un design mai sigur și realizabil, utilizarea celui mai slab poate acum încălca Articolul 32. Gestionarea cheilor pe server nu mai este un standard implicit sigur pentru înregistrările sensibile.

Cine este expus riscului: Orice serviciu care stochează înregistrări sensibile și păstrează cheile de criptare pe propriile servere. Aceasta include instrumentele care înregistrează text pentru trasabilitate, statistici de utilizare sau istoricul documentelor. Dacă serverul poate citi textul, autoritățile de reglementare pot întreba de ce nu ați folosit un design pe partea clientului. Vedeți cum anonym.legal gestionează aceasta cu arhitectura zero-knowledge.

Ghidul UK privind IA: Opt reguli tehnice

Autoritatea de reglementare din Regatul Unit a publicat ghiduri detaliate privind IA în 2023–2024. Acestea acoperă opt cerințe specifice pentru sistemele IA generative. Ghidurile comparabile ale UE sunt mai puțin detaliate.

1. Proveniența datelor de antrenament — IA antrenată pe înregistrări personale trebuie să documenteze de unde provin aceste date și ce pași au fost urmați pentru a le curăța.

2. Monitorizarea rezultatelor — Sistemele care produc rezultate personale trebuie să dispună de controale pentru a detecta și opri divulgările nedorite.

3. Limitarea scopului — Înregistrările utilizate pentru antrenarea IA trebuie să corespundă scopului declarat. Antrenamentul general pe înregistrările clienților necesită un temei juridic clar.

4. Drepturile privind deciziile automatizate — Dacă IA ia decizii cheie privind o persoană, aceasta trebuie să susțină accesul, explicația și contestația.

5. Monitorizarea prejudecăților — Sistemele care utilizează caracteristici protejate — direct sau prin inferență — trebuie să dispună de verificări ale prejudecăților.

6. Minimizarea înainte de ajustare fină — Trebuie să reduceți înregistrările personale înainte de ajustarea fină. O politică singură nu este suficientă.

7. Ștergerea din ponderile modelului — Dacă înregistrările intră în ponderile modelului, aveți nevoie de un plan pentru a gestiona cererile de ștergere. Sunt necesare măsuri tehnice sau garanții echivalente.

8. Revizuirea IA terților — Dacă utilizați IA a altei companii, trebuie să verificați și să înregistrați conformitatea acesteia cu toate cele opt puncte.

Aceste opt reguli formează o listă de verificare practică pentru orice implementare IA în Regatul Unit.

Aplicarea în Regatul Unit: Trecerea la amenzi

Autoritatea de reglementare obișnuia să prefere scrisorile de îndrumare față de penalități. Acest lucru se schimbă. Acțiunile recente arată un tipar clar:

AcțiuneSumăAnMotiv
British Airways£20M2020Breșă — securitate slabă
Marriott International£18,4M2020Breșă — diligență insuficientă
LastPass UK£1,2M2025Eșec de design al criptării
Electoral CommissionReprimandă £4,4M2023Server nepachetizat

În 2024 au fost emise 67 de notificări de aplicare a legii — un record. Cazul LastPass este notabil deoarece amenda a vizat o alegere de design, nu doar un rezultat al breșei. Autoritățile de reglementare au analizat modul în care LastPass și-a construit sistemul. Acesta este un precedent nou.

Transferuri UK–UE: Risc în ambele direcții

Organizațiile din Regatul Unit care gestionează înregistrări personale din UE au obligații din ambele părți.

Din UE în Regatul Unit: UE a acordat Regatului Unit o decizie de adecvare în 2021. Aceasta este încă valabilă. Dar face obiectul unor contestații juridice. Nu vă bazați pe ea singură — clauzele contractuale standard (CCS) sunt o rezervă rezonabilă.

Din Regatul Unit în UE: Nicio regulă actuală nu blochează transferul înregistrărilor din Regatul Unit către procesatori din UE. Dar un procesator din UE care gestionează înregistrări din Regatul Unit poate totuși să declanșeze regulile EU GDPR la capătul său.

Pas practic: Redactați poziția dumneavoastră UK GDPR și poziția dumneavoastră EU GDPR ca două documente separate. Notați unde coincid și unde diferă. Acesta este documentul de care aveți nevoie dacă o autoritate de reglementare solicită. Prezentarea noastră de conformitate mapează ambele părți.

Pentru o analiză mai aprofundată a designului zero-knowledge și a modului în care abordează riscul de breșă de server identificat în cazul LastPass, consultați pagina noastră de securitate și arhitectură de confidențialitate.

Surse

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.