Parte da nossa série Compliance & Regulation
Leia o guia completoProteção de dados do Reino Unido pós-Brexit: GDPR vs GDPR do Reino Unido
O Brexit mudou fundamentalmente o panorama da proteção de dados no Reino Unido. A partir de 1º de janeiro de 2021, o Reino Unido saiu do quadro jurídico da UE e o GDPR da UE deixou de ser aplicado diretamente. O Reino Unido manteve o GDPR da UE na legislação nacional como o "RGPD do Reino Unido" (nos termos da Lei (Retirada) da União Europeia de 2018), complementado pela Lei de Proteção de Dados de 2018 (DPA 2018). O resultado é um quadro que é substancialmente semelhante ao RGPD da UE, mas com diferenças importantes – e uma relação de adequação frágil entre o Reino Unido e a UE que as empresas devem monitorizar de perto.
Compreender as diferenças exatas entre o RGPD do Reino Unido e o RGPD da UE e gerir a dupla conformidade para empresas que operam em ambas as jurisdições é essencial para empresas sediadas no Reino Unido e empresas internacionais com exposição no Reino Unido e na UE.
Principais conclusões
- O GDPR do Reino Unido deriva do GDPR da UE, mas agora é uma lei nacional separada — o GDPR da UE não se aplica mais diretamente no Reino Unido
- A UE concedeu decisões de adequação ao Reino Unido em junho de 2021, permitindo fluxos de dados UE→Reino Unido — mas estão sujeitas a uma cláusula de caducidade e revisão periódica
- Fluxos de dados Reino Unido→UE: o Reino Unido também concedeu aos países da UE adequação ao abrigo da legislação do Reino Unido, permitindo fluxos UE→Reino Unido ao abrigo do RGPD do Reino Unido
- Principais diferenças: o GDPR do Reino Unido tem SCCs diferentes, mecanismos de transferência diferentes, supervisão da ICO (não do EDPB) e posições específicas do Reino Unido em evolução
- A Lei de Proteção de Dados e Informações Digitais (DPDI) de 2025 reformou o GDPR do Reino Unido — as mudanças incluem interesses legítimos relaxados, novos interesses legítimos reconhecidos e manutenção simplificada de registros
- As multas da ICO atingem £ 17,5 milhões ou 4% do volume de negócios global — mesma estrutura do GDPR da UE
- As empresas sujeitas ao GDPR do Reino Unido e ao GDPR da UE devem satisfazer ambas as estruturas de forma independente
O Quadro de Proteção de Dados do Reino Unido Pós-Brexit
GDPR do Reino Unido e a Lei de Proteção de Dados de 2018
O quadro de proteção de dados do Reino Unido compreende dois instrumentos principais:
RGPD do Reino Unido: O RGPD da UE conforme retido na legislação do Reino Unido, modificado pelo DPA 2018 e instrumentos legais subsequentes. Ele preserva as seis bases legais, os direitos do titular dos dados, a estrutura do controlador/processador, os requisitos da DPIA e as obrigações do DPO do GDPR da UE, com algumas modificações específicas do Reino Unido.
Lei de Proteção de Dados de 2018: Complementa o GDPR do Reino Unido ao:
- Implementar derrogações específicas do Reino Unido (por exemplo, para aplicação da lei, segurança nacional, jornalismo)
- Estabelecer os poderes e o papel da OIC
- Fornecer condições adicionais para o processamento de categorias especiais de dados
- Definir requisitos de DPO para autoridades públicas
- Criar o quadro para infracções penais e execução
Lei de Proteção de Dados e Informações Digitais (DPDI) de 2025: Uma reforma significativa que alterou o GDPR do Reino Unido, introduzindo disposições mais flexíveis para processamento de negócios, disposições flexibilizadas sobre interesses legítimos, "interesses legítimos reconhecidos" (nova categoria evitando o teste de equilíbrio), requisitos simplificados de DPIA e uma nova estrutura regulatória para serviços de identidade digital.
Principais diferenças: GDPR do Reino Unido vs GDPR da UE
| Área | GDPR da UE | GDPR do Reino Unido (conforme alterado pela DPDI) |
|---|---|---|
| Autoridade supervisora | Coordenação nacional das APD + CEPD | ICO (autoridade única do Reino Unido, sem adesão ao EDPB) |
| Limiar obrigatório do RPD | Autoridades públicas + monitorização sistemática em grande escala ou categorias especiais | Mesmo limiar, mas aceitável "indivíduo ou equipa nomeado" |
| Interesses legítimos | É necessário um teste em três partes (finalidade, necessidade, ponderação) | O mesmo, acrescido de uma nova categoria de «interesses legítimos reconhecidos» que evita o teste de ponderação total |
| Interesses legítimos reconhecidos | Nenhum | Nova categoria para fins comerciais específicos, incluindo: marketing direto, transferências intragrupo, segurança de rede, monitorização de funcionários para salvaguarda |
| Requisito DPIA | Tratamento de alto risco (artigo 35.º) | Mantido, mas DPDI cria conceito de “avaliação de alto risco” com orientação atualizada |
| Manutenção de registos | Todas as organizações com mais de 250 funcionários ou processamento de alto risco | Requisitos simplificados no âmbito da DPDI para organizações de menor dimensão |
| Mecanismo de transferência: SCC | SCC da UE (junho de 2021, três módulos) | Acordos Internacionais de Transferência de Dados (IDTAs) — SCCs específicos do Reino Unido |
| Mecanismo de transferência: TIA | É necessária uma avaliação do impacto da transferência | Não é explicitamente exigido (mas a ICO recomenda uma avaliação de risco) |
| Decisões de adequação | Processo CEPD/Comissão | Avaliação da OIC + designação de Secretário de Estado |
| Mecanismo de balcão único | Autoridade supervisora principal das operações da UE | Sem equivalente — a ICO tem jurisdição sobre entidades estabelecidas no Reino Unido |
| Consentimento de cookies | Diretiva de privacidade eletrônica (separada do GDPR) | PECR 2003 (separado do GDPR do Reino Unido); reforma sob DPDI |
Status de adequação do Reino Unido e transferências de dados UE→Reino Unido
Decisões de adequação da UE para o Reino Unido (junho de 2021)
A Comissão Europeia concedeu ao Reino Unido duas decisões de adequação em 28 de junho de 2021:
- Decisão de adequação ao abrigo do RGPD da UE: permite o livre fluxo de dados pessoais da UE/EEE para o Reino Unido sem exigir mecanismos de transferência adicionais
- Decisão de adequação sob a Diretiva de Aplicação da Lei: Permite o compartilhamento de dados de aplicação da lei
A cláusula de caducidade: As decisões de adequação da UE para o Reino Unido contêm uma cláusula de caducidade de quatro anos – expiram em 27 de junho de 2025, a menos que sejam renovadas. A Comissão Europeia conduziu uma análise e indicou a sua intenção de renovar, mas o processo de renovação e quaisquer condições associadas estão sujeitos a desenvolvimentos políticos e jurídicos.
Riscos para a relação de adequação UE→Reino Unido:
- A divergência entre a legislação de proteção de dados do Reino Unido e o RGPD (através da Lei DPDI e de futuras reformas) poderá desencadear uma revisão pela Comissão
- A legislação de vigilância do governo do Reino Unido e as práticas de recolha de dados em massa têm sido áreas de escrutínio da UE
- Quaisquer decisões judiciais ou alterações legislativas do Reino Unido que reduzam significativamente as normas de proteção de dados poderão levar a Comissão a suspender a adequação
Implicação prática: As empresas que dependem da adequação do Reino Unido para fluxos de dados UE-Reino Unido devem ter um plano de contingência (IDTAs ou BCRs do Reino Unido) caso a adequação seja retirada ou suspensa, mesmo que a renovação pareça provável.
Fluxos de dados do Reino Unido → UE
De acordo com as disposições de transferência internacional do GDPR do Reino Unido, o Secretário de Estado do Reino Unido concedeu regulamentos de adequação para países da UE/EEE — o que significa que os dados pessoais podem fluir do Reino Unido para países da UE/EEE sem mecanismos de transferência adicionais.
Acordos Internacionais de Transferência de Dados (IDTAs)
Para transferências do Reino Unido para países sem decisões de adequação do Reino Unido, o RGPD do Reino Unido exige salvaguardas adequadas. A OIC publicou o Acordo Internacional de Transferência de Dados (IDTA) e um Adendo do IDTA às SCCs da UE em março de 2022, substituindo as cláusulas modelo mais antigas para transferências do Reino Unido.
Principais recursos do IDTA:
- Cláusulas contratuais padrão específicas do Reino Unido que abrangem todos os quatro cenários do módulo SCC da UE (C2C, C2P, P2P, P2C) em um único documento
- Quadro de "avaliação de riscos" (em vez da TIA obrigatória do SCC da UE)
- Definições específicas do Reino Unido e referências de autoridades supervisoras
- Termos obrigatórios que não devem ser modificados; cláusulas opcionais disponíveis
Adendo do IDTA às SCCs da UE: permite que as empresas usem as SCCs da UE como base para transferências do Reino Unido, adicionando um adendo que as adapta para fins do Reino Unido. Esta é a abordagem preferida para muitas empresas multinacionais que já implementaram SCC da UE e pretendem cobrir as transferências para o Reino Unido sem documentação separada.
Transição das SCCs da UE: A OIC estendeu o prazo para atualização dos contratos SCC legados da UE para IDTAs do Reino Unido — as empresas que celebraram contratos SCC da UE antes de 21 de setembro de 2022 tinham até 21 de março de 2024 para substituí-los por IDTAs do Reino Unido (prorrogado pelas orientações da OIC).
Selecionando o mecanismo de transferência apropriado:
| Cenário | Mecanismo de transferência do Reino Unido |
|---|---|
| Reino Unido→UE/EEE | Regulamentos de adequação — não é necessário nenhum mecanismo adicional |
| Reino Unido→EUA | IDTA do Reino Unido ou Adenda IDTA aos SCC da UE (Acordo de Acesso a Dados EUA-Reino Unido para aplicação da lei) |
| Reino Unido→outros países adequados | Não é necessário nenhum mecanismo adicional |
| Reino Unido→países não adequados | IDTA do Reino Unido ou Adendo IDTA |
| Intragrupo | IDTA do Reino Unido, Adendo IDTA ou BCRs |
Poderes e abordagem de aplicação da ICO
O Information Commissioner's Office (ICO) é a autoridade supervisora independente de proteção de dados do Reino Unido. Após o Brexit, a OIC já não faz parte do CEPD e atua de forma independente em todos os aspetos.
Poderes de aplicação da ICO:
- Emitir avisos informativos exigindo que as organizações forneçam informações
- Emitir avisos de avaliação (auditorias)
- Emitir avisos de execução (exigindo ações de conformidade)
- Emitir avisos de penalidade:
- Nível inferior: até £8,7 milhões ou 2% do volume de negócios anual global (o que for maior) — para violações menos graves
- Nível superior: até £17,5 milhões ou 4% do volume de negócios anual global (o que for maior) — para violações mais graves
- Processo criminal por crimes deliberados contra dados (nos termos da DPA 2018 Parte 3 e infrações)
Abordagem de aplicação da ICO: A ICO tem historicamente adotado uma abordagem proporcional e baseada em riscos – envolvendo-se com organizações por meio de reprimendas e orientações informais antes de aplicar multas. No entanto, a OIC emitiu multas significativas: 20 milhões de libras à British Airways (posteriormente reduzidas para 20 milhões de libras em recurso), 18,4 milhões de libras à Marriott International e múltiplas multas de sete dígitos às autoridades públicas.
Lei Pós-DPDI: A Lei DPDI de 2025 modificou a estrutura da OIC, introduzindo um “objetivo principal” para promover uma economia digital próspera juntamente com a proteção de dados e criando um código de prática estatutário para IA responsável. Isto sinaliza uma abordagem regulatória um pouco mais pró-inovação do que a pré-DPDI.
Dupla Conformidade: GDPR do Reino Unido e GDPR da UE
Para empresas sujeitas ao RGPD do Reino Unido e ao RGPD da UE — a situação mais comum para empresas sediadas no Reino Unido com operações na UE — a gestão da dupla conformidade exige uma concepção cuidadosa do programa.
Estruturação para dual compliance:
-
Entidades jurídicas separadas: Se as suas operações no Reino Unido e na UE forem entidades jurídicas separadas, cada uma terá a sua própria autoridade supervisora (ICO para o Reino Unido, DPA nacional relevante para a UE) e deverá manter programas de conformidade separados.
-
Base política comum: o GDPR do Reino Unido e o GDPR da UE compartilham aproximadamente 95% de seus requisitos substantivos. Pode ser criado um único programa de privacidade abrangente que cubra todos os requisitos de ambos, com camadas específicas do Reino Unido e específicas da UE no topo
-
Mecanismos de transferência: As transferências Reino Unido→UE utilizam regulamentos de adequação do Reino Unido (nenhum mecanismo é necessário atualmente). As transferências UE-Reino Unido utilizam a decisão de adequação da UE para o Reino Unido (atualmente não é necessário nenhum mecanismo). As transferências internas entre o Reino Unido e outros países necessitam de IDTAs do Reino Unido. As transferências internas entre a UE e outros países necessitam de SCC da UE
-
Autoridade supervisora principal: De acordo com o GDPR da UE, as operações da UE podem designar uma autoridade supervisora principal para o processamento transfronteiriço da UE por meio do mecanismo de balcão único. Isto não se aplica no Reino Unido – a ICO supervisiona todas as entidades estabelecidas no Reino Unido
-
Avisos de privacidade: mantenha avisos de privacidade separados ou distinga claramente as bases jurídicas do Reino Unido e da UE, informações de contato (DPO, representante do Reino Unido, representante da UE) e referências de autoridade supervisora
-
Nomeação de DPO: Se necessário em ambas as estruturas, um único DPO pode servir ambas as jurisdições. Os dados de contacto do DPO nos avisos de privacidade do Reino Unido devem fazer referência às obrigações do Reino Unido; Os avisos da UE devem fazer referência às obrigações da UE
Considerações específicas sobre proteção de dados do Reino Unido
PECR (Regulamentos de Privacidade e Comunicações Eletrônicas de 2003)
O UK PECR rege cookies, marketing eletrônico e dados de tráfego/localização. É separado do GDPR do Reino Unido e não foi atualizado pela Lei DPDI, embora a reforma esteja em andamento. Principais requisitos do PECR:
- Consentimento de cookies: consentimento claramente informado necessário para cookies não essenciais
- Marketing por e-mail/SMS: consentimento de adesão necessário para indivíduos; opt-out (soft opt-in) disponível quando existe um relacionamento com o cliente e produtos iguais/similares
- Cold call: proibido para números do Serviço de Preferência Telefónica (TPS); empresas podem se registrar no TPS Corporativo
Dados biométricos (categoria especial sob GDPR do Reino Unido)
Os dados biométricos processados para identificar indivíduos de forma exclusiva são uma categoria especial no GDPR do Reino Unido. O Anexo 1 do DPA 2018 fornece condições específicas para o processamento de categorias especiais, incluindo consentimento explícito e condições da legislação trabalhista.
Representante do Reino Unido para controladores estabelecidos fora do Reino Unido
De acordo com o Artigo 27 do GDPR do Reino Unido, os controladores e processadores não estabelecidos no Reino Unido, mas sujeitos ao GDPR do Reino Unido (porque oferecem bens/serviços a indivíduos do Reino Unido ou monitoram o comportamento dos indivíduos do Reino Unido) devem nomear um representante do Reino Unido. Esta é uma função independente do DPO e pode ser uma pessoa física ou jurídica.
Lista de verificação de conformidade de proteção de dados no Reino Unido
- Determine se o GDPR do Reino Unido, o GDPR da UE ou ambos se aplicam à sua organização
- Representante do Reino Unido nomeado se não estiver estabelecido no Reino Unido e estiver sujeito ao GDPR do Reino Unido
- [] Aviso de privacidade atualizado para fazer referência ao GDPR do Reino Unido, ICO e direitos específicos do Reino Unido
- [] UK IDTA ou Adendo IDTA implementado para transferências do Reino Unido para países não adequados
- Mecanismo de transferência UE→Reino Unido revisado (atualmente dependendo da adequação da UE para o Reino Unido — monitorar mudanças)
- DPO nomeado quando exigido pelo GDPR do Reino Unido; informações de contato publicadas
- Registro de atividades de processamento mantido (artigo 30 do GDPR do Reino Unido)
- [] DPIAs realizadas para atividades de processamento de alto risco
- Avaliações de interesses legítimos documentadas onde os interesses legítimos são a base legal
- [] Conformidade com PECR revisada: consentimento de cookies, mecanismos de aceitação de marketing eletrônico
- [] Treinamento de pessoal concluído sobre as obrigações do GDPR do Reino Unido
- [] Procedimento de notificação de violação: notificação de 72 horas ao ICO, notificação individual para violações de alto risco
- [] Procedimentos de direitos do titular dos dados implementados (prazo do GDPR do Reino Unido: um mês)
- [] Contratos legados de SCC da UE revisados e atualizados para IDTAs do Reino Unido, quando necessário
Perguntas frequentes
O GDPR da UE ainda é aplicável no Reino Unido após o Brexit?
Não. O GDPR da UE deixou de ser aplicado diretamente no Reino Unido em 1º de janeiro de 2021. No entanto, o Reino Unido manteve o GDPR da UE como lei nacional na forma de "RGPD do Reino Unido", que é substancialmente semelhante, mas agora é um estatuto separado do Reino Unido. Se você processa dados pessoais de indivíduos da UE/EEE ou tem um estabelecimento sediado na UE, o GDPR da UE continua a ser aplicado a esses aspectos do seu negócio, independentemente do Brexit.
Preciso de DPOs separados para operações no Reino Unido e na UE?
Um único DPO pode cumprir as obrigações do Reino Unido e da UE, desde que tenha conhecimento suficiente de ambas as estruturas e seja acessível aos titulares dos dados e às autoridades de supervisão em ambas as jurisdições. Os dados de contacto do DPO devem ser publicados em avisos de privacidade para ambas as jurisdições, e o DPO deve estar ciente das orientações específicas da ICO do Reino Unido, juntamente com as orientações do EDPB para as obrigações da UE.
O que acontecerá se a UE retirar a adequação ao Reino Unido?
Os fluxos de dados entre a UE e o Reino Unido exigiriam um mecanismo de transferência alternativo — normalmente SCC da UE. As empresas precisariam assinar cláusulas contratuais padrão da UE para transferências UE-Reino Unido e realizar avaliações de impacto de transferência. Isto seria operacionalmente significativo, mas administrável para empresas que planejaram contingências. A perturbação prática seria maior para as empresas que dependem de fluxos informais de dados (dados de funcionários, infraestruturas de nuvem partilhadas entre entidades da UE e do Reino Unido) sem documentação formal de transferência.
O que são "interesses legítimos reconhecidos" nos termos da Lei DPDI?
A Lei DPDI de 2025 introduziu “interesses legítimos reconhecidos” – uma nova categoria de finalidades de processamento que não exige o teste completo de equilíbrio de interesses legítimos em três partes sob o GDPR do Reino Unido. Os interesses legítimos reconhecidos incluem: marketing direto por parte da organização que recolheu os dados; transferências intragrupo para fins administrativos; fins de segurança de redes e informações; monitoramento e gerenciamento de funcionários para segurança/conformidade legal. As empresas podem confiar neles sem documentar um teste formal de balanceamento, simplificando a conformidade para esses casos de uso específicos.
Como a proteção de dados do Reino Unido se aplica aos cidadãos do Reino Unido que vivem no exterior?
O GDPR do Reino Unido protege indivíduos no Reino Unido – não está vinculado à cidadania ou nacionalidade do Reino Unido. Um cidadão da UE que viva no Reino Unido está protegido pelo GDPR do Reino Unido. Um cidadão do Reino Unido que vive na França está protegido pelo GDPR da UE aplicado na França. As leis são territoriais na sua aplicação primária e não baseadas na cidadania. Os dados dos cidadãos do Reino Unido não estão inerentemente sujeitos ao GDPR do Reino Unido quando estão localizados fora do Reino Unido, a menos que o controlador/processador seja estabelecido no Reino Unido ou tenha como alvo indivíduos do Reino Unido.
Os cookies no Reino Unido são regidos pelo GDPR ou PECR do Reino Unido?
Os cookies são regidos principalmente pelos Regulamentos de Privacidade e Comunicações Eletrônicas de 2003 (PECR) no Reino Unido, e não diretamente pelo GDPR do Reino Unido. O PECR exige informações claras sobre cookies e consentimento para cookies não essenciais. O GDPR do Reino Unido se aplica aos dados pessoais coletados por meio de cookies (onde os cookies processam dados pessoais). Ambas as estruturas devem ser satisfeitas simultaneamente – o PECR rege a colocação de cookies; O GDPR do Reino Unido rege o processamento subsequente dos dados pessoais coletados.
Próximas etapas
O cenário de proteção de dados pós-Brexit no Reino Unido é mais complexo do que muitas empresas previram – especialmente para aquelas que operam simultaneamente nas jurisdições do Reino Unido e da UE. Acompanhar as orientações da OIC, as reformas da Lei DPDI e a relação de adequação da UE exige atenção contínua.
A ECOSIRE ajuda as empresas a conceber e manter programas duplos de conformidade entre o Reino Unido e a UE, a implementar mecanismos apropriados de transferência internacional de dados e a incorporar a privacidade desde a conceção nas suas plataformas tecnológicas.
Saiba mais: Serviços ECOSIRE
Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. A lei de proteção de dados do Reino Unido está evoluindo através da legislação e das orientações da OIC. Consulte um consultor jurídico qualificado do Reino Unido para obter aconselhamento específico para a sua organização.
Escrito por
ECOSIRE Research and Development Team
Construindo produtos digitais de nível empresarial na ECOSIRE. Compartilhando insights sobre integrações Odoo, automação de e-commerce e soluções de negócios com IA.
Artigos Relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Mais de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.