RGPD vs. RGPD do Reino Unido: Como a Data (Use and Access) Act 2025 Está Criando uma Divergência Real
O RGPD da UE e o RGPD do Reino Unido começaram como textos idênticos após o Brexit. A Data (Use and Access) Act 2025, em vigor desde fevereiro de 2026, criou a primeira divergência material: os interesses legítimos reconhecidos, as regras reformuladas de tomada de decisão automatizada, um mecanismo de pausa do prazo (stop-the-clock) para solicitações de acesso e as isenções de cookies de análise agora se aplicam apenas ao abrigo do regime do Reino Unido.
Quando o Reino Unido deixou a União Europeia em 31 de janeiro de 2020, o RGPD da UE não simplesmente deixou de se aplicar. A European Union (Withdrawal) Act 2018 o manteve no direito interno do Reino Unido, criando o RGPD do Reino Unido. Complementado pela Data Protection Act 2018, o RGPD do Reino Unido inicialmente espelhava o RGPD da UE quase palavra por palavra.
Durante quatro anos, a comparação foi, em grande parte, acadêmica. Então veio a Data (Use and Access) Act 2025 (DUAA). Tendo recebido sanção real em 19 de junho de 2025 e entrado em vigor em fases até o início de 2026, a DUAA introduziu mudanças estruturais no tratamento baseado em interesse legítimo, na tomada de decisão automatizada, nos direitos de acesso do titular, no consentimento de cookies e na própria governança do ICO. Os dois regimes já não são iguais.
Este guia explica como o RGPD do Reino Unido surgiu, o que a DUAA mudou, o estado atual da decisão de adequação da UE e como se configura a conformidade dupla em 2026.
Como Surgiu o RGPD do Reino Unido
O RGPD da UE se aplicou diretamente no Reino Unido de 25 de maio de 2018 a 31 de dezembro de 2020, período em que o Reino Unido era um Estado-membro e, depois, esteve no período de transição pós-saída. Em 1º de janeiro de 2021, o RGPD mantido tornou-se o RGPD do Reino Unido.
O mecanismo técnico foi direto. A Withdrawal Act incorporou o RGPD ao direito interno do Reino Unido e autorizou instrumentos regulamentares para corrigir referências que deixaram de fazer sentido: "a União" passou a ser "o Reino Unido", as instituições da UE passaram a ter equivalentes britânicos, e o Information Commissioner's Office (ICO) tornou-se a única autoridade de supervisão de todo o país, em vez de ser a autoridade nacional de proteção de dados do Reino Unido dentro de uma rede de mais de 30 autoridades europeias.
A Data Protection Act 2018 coexiste com o RGPD do Reino Unido em uma relação que espelha a estrutura da UE: a DPA 2018 estabelece disposições e derrogações específicas do Reino Unido, da mesma forma que os Estados-membros da UE aprovaram legislação nacional de implementação. O regime combinado do RGPD do Reino Unido e da DPA 2018, em 1º de janeiro de 2021, era substancialmente idêntico ao RGPD da UE.
O governo do Reino Unido anunciou, desde cedo, sua intenção de reformar esse regime. Após diversas tentativas frustradas, a Data Protection and Digital Information (DPDI) Act recebeu sanção real em 24 de outubro de 2024, promovendo mudanças modestas. A DUAA 2025, uma lei mais ampla e ambiciosa, veio oito meses depois.
A Quase Identidade Histórica
De 2021 até a maior parte de 2025, o RGPD do Reino Unido e o RGPD da UE eram funcionalmente equivalentes para quase todos os efeitos práticos. As seis bases legais para o tratamento eram idênticas. Os direitos dos titulares de dados (acesso, retificação, eliminação, portabilidade, limitação, oposição) eram os mesmos. A obrigação de notificação de incidente em 72 horas era a mesma. A proteção de dados desde a concepção, as avaliações de impacto, as exigências relativas ao encarregado, os contratos com operadores e as regras sobre categorias especiais de dados seguiam de perto o texto da UE.
As principais diferenças práticas nesse período eram estruturais: o ICO como única autoridade de supervisão (contra mais de 30 autoridades de proteção de dados da UE), as próprias decisões de adequação do Reino Unido para transferências internacionais, o International Data Transfer Agreement (IDTA) do Reino Unido como equivalente doméstico das Cláusulas Contratuais-Tipo da UE, e o uso da libra esterlina em vez do euro para as multas.
Essa quase identidade foi a base sobre a qual a Comissão Europeia concedeu ao Reino Unido uma decisão de adequação em junho de 2021.
A Data (Use and Access) Act 2025: Onde Começa a Divergência
A DUAA foi promulgada em 19 de junho de 2025. O governo do Reino Unido a apresentou como uma reforma pró-inovação que mantém padrões elevados de proteção de dados e, ao mesmo tempo, reduz encargos de conformidade desnecessários. Críticos, incluindo o CEPD, observaram que algumas mudanças se afastam de forma significativa dos princípios do RGPD da UE.
A maior parte das disposições de proteção de dados da Lei entrou em vigor em 5 de fevereiro de 2026. A exigência de tratamento de reclamações entra em vigor em 19 de junho de 2026. A reestruturação da governança do ICO ocorrerá após a nomeação do novo conselho, prevista para o final de 2026.
Interesses Legítimos Reconhecidos
A mudança estruturalmente mais significativa é a criação de uma nova base legal: os "interesses legítimos reconhecidos", nos termos do Artigo 6 do RGPD do Reino Unido (inserida pelo artigo 70 e pelo Anexo 4 da DUAA).
Sob o RGPD da UE, toda invocação do interesse legítimo como base legal exige uma Avaliação de Interesse Legítimo (Legitimate Interests Assessment, LIA) que pondera o interesse do controlador em face dos direitos e liberdades do titular dos dados. Não há atalhos. O RGPD do Reino Unido mantém essa exigência de ponderação integral para invocações gerais de interesse legítimo.
No entanto, o Anexo 4 da DUAA insere uma lista de "interesses legítimos reconhecidos" específicos, para os quais não é exigido nenhum teste de ponderação. As categorias listadas são:
- Prevenção e detecção de crimes, incluindo a prevenção de fraudes
- Salvaguarda de pessoas vulneráveis (proteção de uma pessoa contra negligência ou dano físico, mental ou emocional)
- Resposta a emergências, conforme definidas na Civil Contingencies Act 2004
- Segurança nacional, segurança pública e defesa
- Assistência a órgãos públicos no cumprimento de tarefas de interesse público sancionadas por lei
- Transmissão intragrupo de dados pessoais para fins administrativos internos
Para essas categorias específicas, um controlador pode se apoiar no fundamento do interesse legítimo reconhecido sem realizar ou documentar um teste de ponderação. O titular dos dados ainda mantém o direito de oposição nos termos do Artigo 21, mas o tratamento é presumidamente lícito.
O RGPD da UE não tem disposição equivalente. O tratamento baseado em interesse legítimo na UE sempre exige um teste de ponderação, independentemente da finalidade. Esta é uma área de divergência substantiva real.
Tomada de Decisão Automatizada
O Artigo 22 do RGPD confere aos titulares de dados da UE o direito de não ficarem sujeitos a decisões baseadas exclusivamente em tratamento automatizado que produzam efeitos jurídicos ou similarmente significativos, com exceções limitadas. Historicamente, isso tem sido uma restrição relevante para a definição de perfis totalmente automatizada, a pontuação de crédito e sistemas semelhantes.
A DUAA substitui o Artigo 22 do RGPD do Reino Unido pelos novos Artigos 22A a 22D (artigo 80 e Anexo 6). O regime reformado do Reino Unido é descrito pelo governo como "mais permissivo". As principais mudanças são:
- A proibição da tomada de decisão totalmente automatizada (ADM) agora se aplica apenas quando a decisão se baseia total ou parcialmente em dados de categoria especial e produz efeitos jurídicos ou similarmente significativos.
- Para as demais decisões de ADM, as organizações devem oferecer transparência, permitir que o titular apresente suas alegações e oferecer, mediante solicitação, uma via de intervenção humana.
- Em contextos de aplicação da lei, uma nova "isenção de revisão humana ativa" permite decisões automatizadas desfavoráveis sem revisão humana imediata, caso essa revisão possa obstruir uma investigação ou comprometer a segurança nacional, desde que a reconsideração humana ocorra assim que razoavelmente possível.
O efeito prático é que uma gama mais ampla de decisões automatizadas passa a ser lícita no Reino Unido, sem acionar as proteções integrais do Artigo 22. Um sistema construído sob o regime mais permissivo do Reino Unido pode não estar em conformidade com o RGPD da UE em relação aos titulares de dados da UE. O ICO abriu uma consulta pública sobre orientações atualizadas de ADM no início de 2026.
Pausa do Prazo (Stop-the-Clock) das Solicitações de Acesso
Os artigos 75 a 78 da DUAA introduzem um mecanismo de "pausa do prazo" (stop-the-clock) para as solicitações de acesso do titular (subject access requests, SARs), sem equivalente no RGPD da UE.
Sob ambos os regimes, os controladores devem responder às solicitações de acesso em até um mês corrido (prorrogável por mais dois meses em caso de solicitações complexas ou numerosas). Sob o RGPD da UE, esse prazo corre de forma contínua a partir do recebimento da solicitação.
Sob o RGPD do Reino Unido, na sua versão alterada, o prazo de resposta é pausado quando o controlador precisa que o titular esclareça ou refine sua solicitação, ou forneça informações adicionais para localizar os dados relevantes. O prazo para de correr quando o esclarecimento é solicitado e volta a correr quando o esclarecimento é recebido.
Os mesmos artigos também codificam que as buscas para atender a uma solicitação de acesso precisam apenas ser "razoáveis e proporcionais", princípio anteriormente estabelecido somente pela jurisprudência britânica.
O mecanismo de pausa do prazo dá aos controladores do Reino Unido mais flexibilidade para lidar com solicitações de acesso complexas. Os controladores da UE não dispõem de ferramenta equivalente: qualquer pedido de esclarecimento precisa ser administrado dentro do prazo de um mês, que continua correndo.
Reformas de Cookies e da PECR
As Privacy and Electronic Communications Regulations 2003 (PECR) implementam a Diretiva ePrivacy da UE no direito do Reino Unido e regulam cookies e tecnologias de rastreamento semelhantes. Historicamente, a PECR exigia consentimento prévio para todos os cookies não essenciais, gerando os já conhecidos banners de consentimento de cookies em sites de todo o Reino Unido e da UE.
A DUAA altera a PECR para criar três novas categorias de tecnologias de armazenamento e acesso isentas de consentimento (em vigor desde 5 de fevereiro de 2026):
- Cookies estatísticos: cookies de análise usados para medir e melhorar o desempenho do site, desde que os dados não sejam usados para outras finalidades e seja oferecida aos usuários uma opção gratuita de exclusão (opt-out).
- Cookies de aparência: cookies que memorizam preferências do usuário, como idioma ou configurações de exibição, quando é oferecida uma opção gratuita de exclusão.
- Cookies de assistência emergencial: cookies necessários para viabilizar um serviço de assistência emergencial.
Para os cookies estatísticos e de aparência, a isenção se aplica apenas se o controlador oferecer um mecanismo gratuito e simples para que os usuários façam a exclusão. O ICO publicou uma minuta de orientação no outono de 2025; a orientação final é esperada para a primavera de 2026.
Na UE, a Diretiva ePrivacy não foi alterada. Todos os cookies não essenciais ainda exigem consentimento prévio (opt-in). O já longamente debatido Regulamento ePrivacy continua sem ser promulgado. Sites do Reino Unido agora podem usar cookies de análise sem banner de consentimento (desde que ofereçam a opção de exclusão), enquanto os mesmos cookies em uma página voltada para a UE ainda exigem consentimento prévio.
Separadamente, a DUAA eleva a multa máxima da PECR de £500.000 para £17,5 milhões ou 4% do faturamento anual global (o que for maior), equiparando-a aos níveis de penalidade do RGPD do Reino Unido. Isso alinha a fiscalização das comunicações eletrônicas à fiscalização da proteção de dados.
Disposições sobre Pesquisa Científica
Os artigos 67 e 68 da DUAA esclarecem e ampliam as disposições do Reino Unido sobre pesquisa. Duas mudanças são relevantes.
Primeiro, a definição de "pesquisa científica" passa a constar da legislação primária (antes, estava apenas nos considerandos) e inclui expressamente a pesquisa científica comercial, por exemplo, uma empresa farmacêutica que realiza ensaios clínicos. Isso elimina a ambiguidade sobre se entidades de pesquisa comercial se beneficiam das flexibilidades de tratamento para fins de pesquisa.
Segundo, a DUAA viabiliza o "consentimento amplo" para a pesquisa científica: quando não for razoavelmente possível definir finalidades de pesquisa específicas no início, um consentimento mais amplo, que abranja áreas de pesquisa relacionadas, é válido. Isso reflete a prática comum em estudos longitudinais e biobancos.
Sob o RGPD da UE, esses princípios existem nos considerandos e no Artigo 89, mas têm sido interpretados de forma mais restritiva em alguns Estados-membros. A codificação do Reino Unido oferece maior segurança jurídica.
Esquemas de Dados Inteligentes (Smart Data)
A Parte 1 da DUAA estabelece um regime legal para os "esquemas de dados inteligentes" (smart data schemes). Trata-se de algo separado das mudanças centrais do RGPD do Reino Unido, mas relevante para profissionais da área de dados.
Os esquemas de dados inteligentes ampliam o modelo de Open Banking do Reino Unido (que permite que clientes compartilhem dados financeiros com terceiros autorizados por meio de APIs) para outros setores. O Secretário de Estado e o HM Treasury podem designar "detentores de dados" em qualquer setor (energia, hipotecas, seguros, previdência, entre outros) para disponibilizar dados de clientes, mediante solicitação, a terceiros autorizados.
Em 2025, aproximadamente um em cada cinco consumidores e empresas do Reino Unido usava serviços de Open Banking. A DUAA confere ao Open Banking uma base legal formal e cria a infraestrutura jurídica para estender o modelo a toda a economia. A meta do governo é ter mais de 20 novos esquemas de dados inteligentes até 2035.
Os esquemas de dados inteligentes não alteram diretamente o RGPD do Reino Unido, mas os dados compartilhados por meio de um esquema de dados inteligentes devem cumprir as exigências do RGPD do Reino Unido aplicáveis a cada controlador envolvido.
O ICO Se Torna a Information Commission
A Parte 6 da DUAA renomeia o Information Commissioner's Office para Information Commission (IC) e reestrutura sua governança. O ICO passará a ser liderado por um conselho, com presidente e diretor executivo distintos, em vez de um único Information Commissioner.
A Information Commission também terá o dever legal de considerar a conveniência de promover a inovação no exercício de suas funções. Críticos observam que isso cria uma tensão com a exigência do RGPD da UE de que as autoridades de supervisão atuem com "total independência" (Artigo 52) e sem objetivos comerciais concorrentes.
A transição completa da governança depende da nomeação do novo conselho, prevista para o segundo semestre de 2026. Até lá, a estrutura atual do ICO opera sob o novo nome.
A DUAA também conferiu ao ICO ferramentas de fiscalização reforçadas: o poder de exigir que os controladores contratem auditorias independentes às suas próprias custas, e o poder de compelir depoimentos de testemunhas por meio de notificações de informação.
A Decisão de Adequação da UE: Renovada até 2031
Quando o Reino Unido deixou o mercado único da UE em 1º de janeiro de 2021, o Artigo 46 do RGPD passou a exigir que as organizações contassem com uma decisão de adequação, Cláusulas Contratuais-Tipo, Normas Corporativas Vinculativas ou outro mecanismo aprovado antes de transferir dados pessoais da UE para o Reino Unido.
A Comissão Europeia adotou uma decisão de adequação para o Reino Unido em junho de 2021, determinando que o regime do Reino Unido oferecia proteção essencialmente equivalente. A decisão original continha uma cláusula de caducidade de quatro anos, expirando em junho de 2025, salvo se renovada.
A Renovação de Dezembro de 2025
A Comissão renovou as duas decisões de adequação do Reino Unido (uma nos termos do RGPD da UE, outra nos termos da Diretiva de Aplicação da Lei) em 19 de dezembro de 2025. As decisões renovadas se estendem até 27 de dezembro de 2031, uma prorrogação de seis anos.
Ao renovar, a Comissão avaliou o regime de proteção de dados do Reino Unido, incluindo a recém-promulgada DUAA 2025, e concluiu que a proteção permanece "essencialmente equivalente" aos padrões da UE, não obstante as reformas da DUAA.
O CEPD havia adotado seus pareceres sobre as minutas das decisões de adequação em 20 de outubro de 2025, apoiando a prorrogação, mas levantando preocupações específicas:
- Poderes do Secretário de Estado: a autoridade para alterar as regras de tomada de decisão automatizada, os mecanismos de transferência internacional e a governança do ICO por meio de legislação secundária, com escrutínio parlamentar limitado, deve ser monitorada.
- Teste de adequação posterior do Reino Unido: o novo padrão do Reino Unido para avaliações de adequação de terceiros países (proteção "não substancialmente inferior") omite elementos que constavam do teste anterior do Reino Unido, o que pode viabilizar transferências posteriores a países que não atenderiam aos padrões de adequação da UE.
- Estrutura e independência do ICO: as mudanças na governança do ICO e seu novo dever de considerar a inovação exigem avaliação contínua.
- Isenções de segurança nacional: as Technical Capability Notices, que permitem contornar a criptografia, e as isenções de segurança nacional aos princípios de proteção de dados, merecem monitoramento atento.
A presidente do CEPD, Anu Talus, declarou que o Comitê "recebe com satisfação o alinhamento contínuo entre o regime de proteção de dados do Reino Unido e da Europa", ao mesmo tempo em que pediu um monitoramento eficaz ao longo do período de seis anos.
O Que a Adequação Significa na Prática
A decisão de adequação abrange as transferências de dados pessoais dos Estados-membros da UE e do EEE para o Reino Unido. Na prática:
- As organizações do Reino Unido que recebem dados pessoais de controladores da UE/EEE não precisam de Cláusulas Contratuais-Tipo, Normas Corporativas Vinculativas ou outras salvaguardas de transferência.
- Os controladores da UE que enviam dados a operadores ou controladores conjuntos do Reino Unido podem fazê-lo livremente.
- Caso a decisão seja revogada ou suspensa, toda transferência desse tipo passaria a exigir imediatamente um mecanismo alternativo.
As transferências do Reino Unido para a UE são tratadas separadamente: o Reino Unido reconheceu a UE/EEE como adequada nos termos de seus próprios regulamentos de adequação, de modo que essas transferências também fluem sem salvaguardas adicionais.
Fiscalização: ICO vs. Autoridades de Proteção de Dados da UE
| ICO / Information Commission (Reino Unido) | Autoridades da UE | |
|---|---|---|
| Número de autoridades | 1 (nacional) | Mais de 30 (uma por Estado-membro) |
| Modelo de autoridade líder | Não aplicável | Balcão único: autoridade líder para o tratamento transfronteiriço |
| Multa máxima sob o RGPD / RGPD do Reino Unido | £17,5 milhões ou 4% do faturamento global | 20 milhões de euros ou 4% do faturamento global |
| Multa máxima da PECR (a partir de fev. 2026) | £17,5 milhões ou 4% do faturamento global | Diretiva ePrivacy: varia por Estado-membro |
| Independência da autoridade | Dever legal de considerar a inovação | "Total independência" (Art. 52) |
| Poderes de auditoria pós-DUAA | Pode exigir auditorias externas às custas do controlador | Varia por Estado-membro |
Os patamares de penalidade são, em termos monetários, amplamente equivalentes. Para organizações sujeitas aos dois reguladores, um incidente que afete titulares de dados tanto do Reino Unido quanto da UE exige notificação separada ao ICO e à autoridade líder da UE competente, em até 72 horas após a tomada de conhecimento.
A Divergência Ameaça a Adequação?
A renovação de dezembro de 2025 confirma que os níveis atuais de divergência estão dentro da tolerância de "equivalência essencial" da Comissão. As seis áreas com maior probabilidade de atrair escrutínio no período de 2025 a 2031 são:
Transferências posteriores: o novo padrão do Reino Unido de proteção "não substancialmente inferior" para a adequação de terceiros países pode permitir transferências posteriores, pelo lado do Reino Unido, a países não reconhecidos pela UE. Dados da UE que fluem para o Reino Unido e, em seguida, são transferidos a um país com proteção inferior podem comprometer a lógica da adequação.
Poderes de legislação secundária: o Secretário de Estado pode alterar ainda mais o regime do RGPD do Reino Unido (incluindo as regras de ADM e os mecanismos de transferência internacional) sem necessidade de legislação primária. Qualquer exercício desses poderes que reduza as proteções aos titulares de dados pode desencadear uma revisão pela Comissão.
Independência do ICO: se os padrões de fiscalização da Information Commission parecerem moldados por considerações comerciais ou de inovação, em vez de pelo direito de proteção de dados, isso pode atrair comentários do CEPD.
Práticas de ADM: se organizações do Reino Unido passarem a operar sistemas de tomada de decisão automatizada que seriam ilícitos sob o Artigo 22 do RGPD da UE, mas são permitidos pelos Artigos 22A a 22D do Reino Unido, e essas decisões afetarem residentes da UE, pode surgir atrito quanto à adequação.
A decisão de adequação pode ser suspensa ou revogada a qualquer momento antes de 2031. As organizações com fluxos significativos de dados da UE para o Reino Unido devem manter, como precaução, Cláusulas Contratuais-Tipo ou IDTAs de contingência.
Comparação Lado a Lado
| Característica | RGPD da UE | RGPD do Reino Unido (pós-DUAA, 2026) |
|---|---|---|
| Em vigor desde | 25 de maio de 2018 | 1º de janeiro de 2021 (retido); DUAA: 5 de fevereiro de 2026 |
| Autoridade de supervisão | Autoridades nacionais (mais de 30) | ICO (em transição para Information Commission) |
| Interesses legítimos reconhecidos | Sem equivalente; LIA integral sempre exigida | Lista do Anexo 4 (crime, salvaguarda, emergências, segurança nacional, intragrupo): sem necessidade de LIA |
| Decisões automatizadas (Art. 22) | Direito de não ficar sujeito a ADM exclusivamente automatizada (com exceções) | Substituído pelos Artigos 22A a 22D; proibição restrita a dados de categoria especial; direitos de transparência e contestação aplicam-se de forma ampla |
| Prazo de resposta às solicitações de acesso | 1 mês (corre de forma contínua) | 1 mês (pausa do prazo durante pedidos de esclarecimento) |
| Cookies de análise | Consentimento prévio exigido | Isentos se for oferecida exclusão gratuita |
| Cookies de aparência | Consentimento prévio exigido | Isentos se for oferecida exclusão gratuita |
| Multa máxima da PECR | Não aplicável (ePrivacy varia por Estado-membro) | £17,5 milhões ou 4% do faturamento global (a partir de fev. 2026) |
| Escopo da pesquisa científica | Art. 89, baseado em considerandos; pesquisa comercial debatida | Codificado; pesquisa comercial expressamente incluída; consentimento amplo permitido |
| Teste de adequação para transferências posteriores | "Essencialmente equivalente" | "Não substancialmente inferior" |
| Independência da autoridade | "Total independência" (Art. 52) | Dever de considerar a inovação |
| Multa máxima (RGPD / RGPD do Reino Unido) | 20 milhões de euros ou 4% do faturamento global | £17,5 milhões ou 4% do faturamento global |
| Notificação de incidente de segurança | 72 horas à autoridade | 72 horas ao ICO |
| Exigência de encarregado (DPO) | Sim (determinadas organizações) | Sim (determinadas organizações) |
| Mecanismos de transferência | Decisões de adequação, Cláusulas Contratuais-Tipo, Normas Corporativas Vinculativas | Mesmos mecanismos; novo teste de adequação "não substancialmente inferior" |
| Portabilidade de dados / dados inteligentes | Art. 20 do RGPD (apenas direito individual) | Art. 20, mais os esquemas de dados inteligentes da DUAA (portabilidade setorial) |
Conformidade Dupla: Operando os Dois Regimes em 2026
As organizações que coletam dados pessoais de residentes tanto do Reino Unido quanto da UE devem atender aos dois regimes simultaneamente. Os principais passos práticos após a entrada em vigor da DUAA são:
Avisos de privacidade: atualize-os para refletir as bases legais do RGPD do Reino Unido e do RGPD da UE, sempre que forem diferentes. O tratamento apoiado em interesses legítimos reconhecidos sob o direito do Reino Unido ainda exige uma LIA integral para o tratamento voltado à UE. Os avisos devem deixar claro qual autoridade de supervisão (ICO ou a autoridade da UE competente) se aplica a cada tratamento.
Avaliações de interesse legítimo: mantenha LIAs separadas para o tratamento voltado à UE, mesmo quando o tratamento equivalente no Reino Unido se apoie em interesse legítimo reconhecido. A ausência de exigência de LIA no Reino Unido não elimina a obrigação da UE.
Tomada de decisão automatizada: revise toda tomada de decisão totalmente automatizada em face tanto do Artigo 22 (UE) quanto dos novos Artigos 22A a 22D do Reino Unido. Sistemas lícitos sob o regime mais permissivo do Reino Unido ainda devem cumprir as regras mais rígidas da UE em relação aos titulares de dados da UE.
Procedimentos de solicitação de acesso: o mecanismo de pausa do prazo aplica-se apenas às solicitações de acesso sob o RGPD do Reino Unido. As solicitações de acesso sob o RGPD da UE seguem um prazo contínuo de um mês. Quando uma única solicitação abranger dados pessoais tanto do Reino Unido quanto da UE, trate o prazo do RGPD da UE como vinculante.
Consentimento de cookies: as páginas voltadas para a UE continuam a exigir consentimento prévio integral (opt-in) para cookies de análise e de aparência. As páginas voltadas para o Reino Unido podem migrar para um modelo de exclusão (opt-out) nessas categorias de cookies, conforme as isenções da PECR. Considere abordagens baseadas em geolocalização ou em preferências para públicos mistos.
Transferências internacionais: as transferências da UE para o Reino Unido são cobertas pela decisão de adequação. As transferências do Reino Unido para a UE são cobertas pelos regulamentos de adequação do Reino Unido. Mantenha Cláusulas Contratuais-Tipo de contingência para os fluxos da UE ao Reino Unido, como proteção contra uma eventual suspensão da adequação.
Representantes: organizações estabelecidas apenas no Reino Unido (não na UE) precisam de um representante na UE para o tratamento voltado à UE, nos termos do Artigo 27 do RGPD da UE. Organizações estabelecidas apenas na UE precisam de um representante no Reino Unido, nos termos do Artigo 27 do RGPD do Reino Unido. Essas entidades podem ser diferentes.
Notificação de incidentes: um único incidente que afete titulares de dados do Reino Unido e da UE exige notificação tanto ao ICO quanto à autoridade líder da UE competente, em até 72 horas após a tomada de conhecimento.
Para uma análise detalhada do regime do Reino Unido isoladamente, veja nosso guia sobre leis de privacidade de dados do Reino Unido. Para o lado da UE, veja nosso guia sobre as leis de privacidade de dados da UE.
Desenvolvimentos Recentes (2024-2026)
Maio de 2026: espera-se, de forma iminente, a orientação final do ICO sobre cookies. A consulta do ICO sobre orientações de ADM continua em andamento.
Fevereiro de 2026: as principais disposições de proteção de dados da DUAA entram em vigor. Os interesses legítimos reconhecidos, o novo regime de ADM, a pausa do prazo das solicitações de acesso e as isenções de cookies passam a ser operativos. As multas da PECR sobem para o patamar de £17,5 milhões.
Dezembro de 2025: a Comissão Europeia renova as decisões de adequação do Reino Unido para o RGPD e a Diretiva de Aplicação da Lei, válidas até 27 de dezembro de 2031.
Outubro de 2025: o CEPD adota pareceres favoráveis à renovação da adequação, ao mesmo tempo em que sinaliza preocupações a monitorar quanto aos poderes do Secretário de Estado, ao teste de transferência posterior do Reino Unido e à independência do ICO.
Junho de 2025: a DUAA recebe sanção real (19 de junho de 2025). O ICO anuncia uma abordagem proporcional e de apoio à medida que as novas disposições entram em vigor.
Outubro de 2024: a DPDI Act recebe sanção real, introduzindo uma primeira rodada de reformas pós-Brexit do RGPD do Reino Unido, anterior à DUAA.
Junho de 2021: a Comissão Europeia adota as decisões de adequação originais do Reino Unido.
Janeiro de 2021: o RGPD do Reino Unido passa a existir como direito da UE retido.
Frequently Asked Questions
O Reino Unido ainda está coberto pelo RGPD após o Brexit?
O RGPD da UE não se aplica mais diretamente no Reino Unido. Em vez disso, o Reino Unido tem seu próprio RGPD do Reino Unido, mantido no direito interno por meio da European Union (Withdrawal) Act 2018 e complementado pela Data Protection Act 2018. As duas leis começaram praticamente idênticas palavra por palavra, mas a Data (Use and Access) Act 2025, em vigor desde fevereiro de 2026, introduziu diferenças materiais em interesses legítimos, tomada de decisão automatizada, tratamento de solicitações de acesso e consentimento de cookies.
O que é a Data (Use and Access) Act 2025 e quando ela entrou em vigor?
A Data (Use and Access) Act 2025 (DUAA) recebeu sanção real em 19 de junho de 2025. Suas principais disposições de proteção de dados entraram em vigor em 5 de fevereiro de 2026. A Lei altera o RGPD do Reino Unido e a DPA 2018 para introduzir os interesses legítimos reconhecidos (sem necessidade de LIA para as categorias listadas), regras reformuladas de tomada de decisão automatizada, um mecanismo de pausa do prazo para solicitações de acesso, novas isenções de cookies nos termos da PECR, multas mais altas da PECR, disposições ampliadas sobre pesquisa científica e a transição do ICO para a Information Commission.
Os dados pessoais ainda podem fluir livremente entre a UE e o Reino Unido?
Sim. A Comissão Europeia renovou as duas decisões de adequação do Reino Unido em 19 de dezembro de 2025, cobrindo as transferências nos termos do RGPD da UE e da Diretiva de Aplicação da Lei. As decisões renovadas são válidas até 27 de dezembro de 2031. As transferências de dados pessoais da UE para o Reino Unido não exigem Cláusulas Contratuais-Tipo ou outros mecanismos de transferência durante esse período, desde que o tratamento subjacente cumpra, de resto, o RGPD da UE.
O que são os interesses legítimos reconhecidos sob o RGPD do Reino Unido?
Os interesses legítimos reconhecidos são uma nova categoria de base legal para o tratamento, inserida pelo Anexo 4 da DUAA no Artigo 6 do RGPD do Reino Unido. Abrangem a prevenção e detecção de crimes, a salvaguarda de pessoas vulneráveis, a resposta a emergências, a segurança nacional e pública, a assistência a tarefas de interesse público sancionadas por lei e as transferências de dados intragrupo. Ao contrário do tratamento comum baseado em interesse legítimo, essas categorias não exigem uma Avaliação de Interesse Legítimo. O RGPD da UE não tem equivalente: toda invocação de interesse legítimo na UE exige um teste de ponderação integral.
O que mudou nas solicitações de acesso do titular sob a DUAA?
A DUAA introduziu um mecanismo de pausa do prazo: o prazo de resposta de um mês para as solicitações de acesso é pausado quando um controlador solicita esclarecimento ou informações adicionais ao titular, e volta a correr quando esse esclarecimento é recebido. A Lei também codifica que as buscas para atender a uma solicitação de acesso precisam apenas ser razoáveis e proporcionais. Essas mudanças aplicam-se somente às solicitações de acesso sob o RGPD do Reino Unido. As solicitações de acesso sob o RGPD da UE continuam seguindo um prazo contínuo de um mês, independentemente de trocas de esclarecimento.
As empresas precisam cumprir tanto o RGPD do Reino Unido quanto o RGPD da UE?
Sim, caso tratem dados pessoais de residentes tanto do Reino Unido quanto da UE. Uma empresa sediada no Reino Unido que venda para clientes da UE deve cumprir o RGPD da UE em relação a esses clientes e o RGPD do Reino Unido em relação aos residentes britânicos. Isso agora exige a gestão separada das avaliações de interesse legítimo reconhecido (LIA integral para a UE, possivelmente sem LIA para o Reino Unido), dos prazos de solicitação de acesso, da lógica de tomada de decisão automatizada e das abordagens de consentimento de cookies para públicos do Reino Unido e da UE.
A DUAA ameaça a decisão de adequação da UE?
Não de forma imediata. A Comissão renovou a adequação em dezembro de 2025 após avaliar a DUAA, e considerou aceitável o nível atual de divergência. No entanto, o CEPD sinalizou áreas para monitoramento contínuo: o novo teste de adequação posterior do Reino Unido, os poderes do Secretário de Estado para alterar ainda mais o regime por meio de legislação secundária, e o dever do ICO de considerar a inovação. Caso esses poderes sejam exercidos para enfraquecer as proteções aos titulares de dados, a adequação poderá ser reexaminada antes de seu vencimento em 2031.
Sources and References
- Data (Use and Access) Act 2025, c.18(legislation.gov.uk).gov
- Data Protection Act 2018(legislation.gov.uk).gov
- Data (Use and Access) Act 2025: mudanças em proteção de dados e privacidade - GOV.UK(gov.uk).gov
- Ficha informativa da Data (Use and Access) Act: RGPD do Reino Unido e DPA - GOV.UK(gov.uk).gov
- Data (Use and Access) Act 2025 - ICO(ico.org.uk).gov
- Declaração sobre a entrada em vigor da DUAA - ICO, fevereiro de 2026(ico.org.uk).gov
- Interesse legítimo reconhecido - ICO(ico.org.uk).gov
- Comissão renova decisões que permitem o fluxo livre e seguro de dados pessoais com o Reino Unido - Comissão Europeia, dezembro de 2025(ec.europa.eu).gov
- Minutas das decisões de adequação do Reino Unido: o CEPD adota pareceres - CEPD, outubro de 2025(edpb.europa.eu).gov
- Decisões de adequação da UE - Comissão Europeia(commission.europa.eu).gov
- Recebimento de dados pessoais do EEE - ICO(ico.org.uk).gov
- International Data Transfer Agreement do Reino Unido - ICO(ico.org.uk).gov