Loading…
Se você já se perguntou se pode simplesmente copiar e colar seu programa de GDPR da UE no Reino Unido, a resposta curta é: na maior parte, com três exceções substantivas. Desde 1º de janeiro de 2021, o Reino Unido opera o UK GDPR juntamente com o Data Protection Act 2018, tendo o Information Commissioner's Office (ICO) como autoridade única. O Data (Use and Access) Act 2025 afastou ainda mais o Reino Unido do framework da UE — e uma decisão de adequação da UE mantém o fluxo de dados UE↔Reino Unido aberto até pelo menos 2025.
| Dimensão | 🇬🇧 UK GDPR | 🇪🇺 GDPR da UE |
|---|---|---|
| Instrumento jurídico | UK GDPR (o GDPR da UE mantido, conforme alterado) + Data Protection Act 2018 + Data (Use and Access) Act 2025 | Regulamento (UE) 2016/679 |
| Data de vigência na forma atual | 1º de janeiro de 2021 (pós-Brexit) | 25 de maio de 2018 |
| Órgão regulador | Information Commissioner's Office (ICO) — autoridade única | 27 APDs dos Estados-Membros da UE + EDPB |
| Multa máxima | £17,5M ou 4% do faturamento global (o que for maior) | €20M ou 4% do faturamento global |
| Multa de nível inferior | £8,7M ou 2% do faturamento global | €10M ou 2% do faturamento global |
| Representante do Artigo 27 | Representante separado no Reino Unido exigido para controladores/operadores fora do Reino Unido | Representante na UE exigido para controladores/operadores fora da UE |
| Transferências internacionais — instrumentos | UK IDTA, Adendo do Reino Unido às SCCs da UE, BCRs, Adequação | SCCs da UE, BCRs, Adequação |
| Adequação da UE pelo Reino Unido | Sim — a UE é tratada como adequada | A adequação do Reino Unido pela UE é válida até pelo menos 27 de junho de 2025 (com disposições de prorrogação) |
| Idade de consentimento de crianças | 13 (Reino Unido) — diferente do padrão de 16 da UE | 16 (Estados-Membros podem reduzir para 13) |
| Age Appropriate Design Code | Sim — código estatutário do ICO (15 padrões) | Sem equivalente direto no nível da UE |
| PECR / ePrivacy | PECR — o regime de ePrivacy do Reino Unido rege cookies, marketing e dados de tráfego | Diretiva de ePrivacy (implementações dos Estados-Membros); Regulamento de ePrivacy pendente |
| Reformas do DPDI / DUA Act | Data (Use and Access) Act 2025: reformas específicas — tomada de decisão automatizada, pesquisa, tratamento por entidades beneficentes, esquemas de smart data, identidade digital | Não diretamente aplicável; a UE busca leis setoriais (AI Act, Data Act, DSA, DMA) |
| Direito à portabilidade de dados | Artigo 20 — igual ao da UE | Artigo 20 |
| Direito de se opor a decisões automatizadas | Artigo 22 — as alterações propostas pelo DPDI nunca foram promulgadas conforme originalmente redigidas | Artigo 22 — rigoroso |
| Requisitos de DPO | Artigo 37 — sem limiar separado; responsabilidade da alta administração sob o DUAA | Artigo 37 — obrigatório em casos definidos |
| Autoridade de Controle Principal | ICO (única) | Mecanismo de balcão único do EDPB entre 27 ASs |
| Notificação de incidente | 72 horas para o ICO (igual à UE) | 72 horas para a AS principal |
| Resposta a Solicitação de Acesso do Titular | 1 mês + prorrogação de 2 meses (igual à UE) | 1 mês + prorrogação de 2 meses |
| Dados de categoria especial (Art. 9) | O Anexo 1 do DPA 2018 adiciona condições para tratamento em emprego, saúde pública e pesquisa | Artigo 9 + lei dos Estados-Membros |
| Framework do setor público | DPA 2018 Parte 3 (aplicação da lei) + Parte 4 (serviços de inteligência) | Diretiva de Aplicação da Lei 2016/680 (separada do GDPR) |
Sim. Desde o Brexit, a UE e o Reino Unido são jurisdições separadas para fins do Artigo 27. Um controlador fora da UE/Reino Unido que ofereça serviços a pessoas em ambas as regiões precisa de um Representante na UE e de um Representante no Reino Unido — eles podem ser coordenados por um único provedor, mas devem ser entidades juridicamente separadas.
Isso vem sendo discutido politicamente desde as propostas do DPDI. A decisão de adequação atual (junho de 2021) é válida até pelo menos 27 de junho de 2025, com disposições de prorrogação. A Comissão monitora as reformas do Reino Unido — uma divergência significativa (mudanças em larga escala nos direitos dos titulares de dados, no regime de transferência a países terceiros) poderia desencadear uma revisão.
Sim, na maioria dos casos. Identifique o controlador de cada uma, nomeie ambos os Representantes e indique ambas as autoridades para reclamações. Diferenças na idade de consentimento e no Age Appropriate Design Code podem exigir seções específicas para o Reino Unido em serviços que provavelmente serão acessados por crianças.
Reformas específicas em vez de uma reescrita completa — disposições de tomada de decisão automatizada flexibilizadas para casos com salvaguardas, tratamento para pesquisa esclarecido, esquemas de smart data e identidade digital introduzidos. A maior parte da conformidade do dia a dia permanece inalterada.
Sim — deve estar estabelecido no Reino Unido. Uma pessoa física residente no Reino Unido ou uma pessoa jurídica do Reino Unido qualifica-se. Serviços que oferecem apenas uma caixa postal foram rejeitados pelo ICO.
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.