UK GDPR Post-Brexit: Divergenta si Continuitate
Legea privind Protectia Datelor din 2018 din Marea Britanie, incorporand UK GDPR, oglindeste indeaproape GDPR UE — dar cu divergente semnificative care creeaza cerinte distincte de conformitate.
Continuitate:
- Aceleasi sase baze legale pentru procesare
- Aceleasi drepturi ale subiectilor de date (acces, stergere, rectificare, portabilitate)
- Acelasi principiu de responsabilitate si cerinte de documentatie
- Aceeasi obligatie de notificare a incalcarii de date (72 de ore catre ICO)
Divergente:
- Regimul de adecvanta: Marea Britanie are propriile decizii de adecvanta pentru transferurile internationale de date
- Orientari AI: ICO a emis orientari AI dedicate (2023-2024) mai detaliate tehnic decat abordarea GDPR UE
- DPDI Act 2025: 14 departari semnificative de la GDPR UE
Aplicarea LastPass: Standardul Tehnic ICO
Amenda de 1,2 milioane de lire sterline ICO impotriva LastPass UK in decembrie 2025 este cel mai semnificativ caz de aplicare a securitatii tehnice din Marea Britanie.
Constatarile ICO:
- LastPass stoca seifuri cu parole principale ale clientilor cu criptare depasita
- Unele conturi vechi foloseau PBKDF2 cu un numar de iteratii cu mult sub standardul actual (100.000+ recomandat, unele conturi aveau 5.000)
- Metadatele (URL-urile site-urilor web) au ramas necriptate — expunand care site-uri le accesau clientii
Implicatia pentru conformitate: ICO a constatat ca LastPass nu a implementat 'masuri tehnice si organizatorice adecvate' sub UK GDPR Articolul 32. Criptarea pe partea clientului, standardele moderne de hashing si criptarea metadatelor sunt acum de asteptat tehnic.
Surse: Nota de Decizie ICO privind LastPass UK decembrie 2025; DPDI Act 2025; Orientarile ICO privind Securitatea Tehnica 2025