anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogGDPR & Conformitate

UK GDPR post-Brexit: Diferențe tehnice față de UE

Legea DPDI din 2025 introduce 14 derogări față de GDPR-ul UE. Adecvarea UE–UK este în revizuire în 2026. Amenda de 1,2 milioane de lire sterline aplicată LastPass a consacrat criptarea ca cerință legală.

June 5, 202610 min citire
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

UK GDPR după Brexit: Ce s-a schimbat

Legea britanică Data Protection and Digital Information (DPDI) din 2025 introduce 14 modificări față de regulile GDPR ale UE. Acestea creează prima ruptură reală între legislația de confidențialitate a UE și cea a Regatului Unit de la Brexit. Acordul de adecvare UE–UK este în curs de revizuire. Rezultatul contează pentru orice afacere care transferă date personale între cele două regiuni.

Amenda LastPass: Un nou standard tehnic

ICO a amendat LastPass UK cu 1,2 milioane de lire sterline în decembrie 2025. Acesta este cel mai important caz de securitate tehnică din Regatul Unit până în prezent.

ICO a constatat două eșecuri fundamentale.

Criptare slabă: LastPass a stocat seifurile de parole ale clienților cu criptare veche. ICO a calificat-o drept „inadecvată" conform Articolului 32 din UK GDPR. Unele seifuri foloseau PBKDF2-SHA256 cu o singură iterație. NCSC-ul britanic precizează că cheile de parole necesită cel puțin 600.000 de iterații.

Ce impune acum legea: Articolul 32 din UK GDPR cere „măsuri tehnice adecvate" care să corespundă „stadiului actual al tehnicii". ICO a constatat că derivarea cheilor în 2022 necesita mult mai mult decât ceea ce a oferit LastPass. Ceea ce era acceptabil în 2015 nu mai era acceptabil în 2022.

Consecincia: criptarea oferită de furnizori devine acum un element auditabil. Trebuie să verificați că instrumentele dumneavoastră utilizează parametri actuali — nu standarde de referință vechi. Consultați prezentarea noastră de securitate și conformitate pentru detalii.

Legea DPDI 2025: Șase modificări cheie

Legea introduce 14 modificări identificate la legislația britanică privind datele. Șase au impact direct în activitatea zilnică.

1. Interese legitime. Legea enumeră „interese legitime recunoscute". Acestea ocolesc testul de echilibrare pe care legislația UE îl impune în continuare. Aceasta facilitează utilizarea acestui temei de către firmele britanice.

2. Cercetare și statistici. Legea extinde excepția de cercetare. Utilizarea secundară a datelor personale în scop de cercetare necesită mai puține consimțăminte decât legislația UE.

3. Decizii automatizate. Legea înlocuiește Articolul 22 al UE. Noua regulă este mai permisivă. Unele decizii automate nu mai necesită o revizuire umană semnificativă.

4. Păstrarea evidențelor. Legea elimină obligativitatea Registrului activităților de prelucrare (ROPA) pentru firmele cu mai puțin de 250 de angajați și fără prelucrare „sistematică". Regulile UE impun ROPA tuturor firmelor a căror prelucrare nu este ocazională.

5. Consimțământul pentru cookie-uri. Legea reduce cerințele de consimțământ pentru cookie-urile analitice și susține opțiunile „fără cookie-uri". Regulile ePrivacy ale UE impun în continuare consimțământul pentru cookie-urile de urmărire.

6. Transferuri internaționale. Secretarul de Stat al Regatului Unit primește competențe extinse de a acorda decizii de adecvare. Regatul Unit poate aproba țări pe care UE nu le-a aprobat. Aceasta creează o divergență a cadrului de transfer de ambele părți.

Riscul de adecvare

Comisia Europeană va verifica dacă legislația britanică oferă o protecție „în esență echivalentă" cu regulile UE.

Trei domenii îngrijorează monitorizatorii din UE.

Interesele legitime extinse din Legea DPDI pot lăsa lacune pe care Comisia le poate considera inadecvate. Legea Investigatory Powers Act din 2016 continuă să ridice probleme legate de jurisprudența CJUE. Acordurile Regatul Unit–SUA în temeiul CLOUD Act pot expune datele UE la autoritățile de aplicare a legii din SUA.

Dacă adecvarea este suspendată, peste 10.000 de seturi de Clauze Contractuale Standard UE–UK ar trebui activate rapid. Firmele care se bazează exclusiv pe adecvare pentru transferurile UK–UE ar întâmpina lacune peste noapte. Consultați ghidul nostru de conformitate pentru a vă evalua expunerea.

Operarea sub ambele regimuri simultan

Pentru firmele care se află sub incidența atât a legislației UE, cât și a celei britanice, calea este clară.

Folosiți standardul mai strict. Articolul 32 al UE, testul de echilibrare a intereselor legitime din UE și regulile UE privind deciziile automate sunt toate mai stricte decât echivalentele lor din Legea britanică. Îndeplinirea cerințelor UE înseamnă automat îndeplinirea cerințelor britanice, plus câteva cerințe suplimentare britanice.

Documentați ambele temeiuri juridice. Pentru interesele legitime, consemnați atât rezultatul testului de echilibrare din UE, cât și dovada că prelucrarea se încadrează într-o categorie britanică recunoscută. Documentele duble vă protejează dacă regulile diverge și mai mult.

Mențineți CCS-urile pregătite. Revizuirea adecvării din 2026 va decide dacă aveți nevoie de instrumente de transfer separate. Mențineți Clauzele Contractuale Standard active ca rezervă chiar și în timp ce utilizați adecvarea.

Verificați criptarea furnizorilor. Cazul LastPass face din criptarea furnizorilor un element de conformitate activ. Confirmați că instrumentele care gestionează date personale folosesc setări actuale: AES-256-GCM în repaus, argon2id sau PBKDF2 cu număr actual de iterații pentru derivarea cheilor. Consultați FAQ-ul nostru pentru întrebări frecvente de audit.

Ruptura britanică este prima adevărată scindare a modelului european de confidențialitate. Pentru firmele din ambele regiuni, cea mai sigură abordare este să proiecteze pentru standardul mai exigent — care rămâne cadrul UE.

anonym.legal procesează documentele în centrele de date Hetzner din UE cu design zero-knowledge. Serverul nu vede niciodată textul în clar. O breșă completă a serverului produce doar text cifrat AES-256-GCM. Aveți nevoie de procesare locală? Aplicația Desktop rulează pe dispozitivul dumneavoastră fără conexiuni externe.

Surse

Articole Asemănătoare

GDPR & Conformitate

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformitate

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformitate

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.