O Reino Unido está empenhado em manter elevados padrões de proteção de dados para os indivíduos, e as empresas podem sofrer graves repercussões se não cumprirem a legislação relevante. No entanto, este compromisso é equilibrado com o objetivo de incentivar a inovação, o que é particularmente evidente com a introdução do novo Lei dos Dados (Utilização e Acesso) de 2025. Nesta atualização, abordaremos as alterações significativas introduzidas por esta legislação e outras actualizações importantes em matéria de proteção de dados que devem ser tidas em conta para manter a sua empresa em conformidade.
O RGPD do Reino Unido e a Lei de Proteção de Dados de 2018
Ao considerar os regulamentos de proteção de dados do Reino Unido, é essencial considerar tanto o RGPD do Reino Unido como a Lei de Proteção de Dados de 2018, que constituem a pedra angular do regime de proteção de dados do Reino Unido. Estas leis determinam a forma como os dados pessoais devem ser armazenados, processados e recolhidos.
O RGPD do Reino Unido foi introduzido na sequência do Brexit e define vários princípios de tratamento de dados, incluindo a legalidade, a equidade e a transparência. Estabelece os direitos dos indivíduos (incluindo os direitos de acesso e apagamento) e regras para transferências internacionais de dados. Aplica-se a todas as organizações no Reino Unido e a entidades no estrangeiro que processam os dados pessoais de indivíduos do Reino Unido.
A Lei de Proteção de Dados de 2018 complementa o RGPD do Reino Unido e inclui disposições como isenções das obrigações do RGPD do Reino Unido em determinados casos.
Lei de 2025 relativa à utilização e acesso aos dados (DUAA)
O DUAA recebeu o consentimento real em 19 de junho de 2025 e está a ser implementado por fases, com algumas disposições já em vigor e outras que deverão entrar em vigor durante o próximo ano. O DUAA introduz alterações significativas ao regime atual.
Os objectivos do DUAA são incentivar a inovação, melhorar o quadro de proteção de dados existente no Reino Unido e permitir que as empresas melhorem os seus serviços, mantendo a proteção dos direitos individuais.
Para além de garantirem a conformidade, referida mais adiante, as organizações devem considerar a forma como podem utilizar as alterações que apoio inovação.
Inovação
O ICO congratula-se com as alterações introduzidas pelo DUAA e observa que o DUAA pode ajudar as empresas a inovar das seguintes formas:
1. Investigação: clarificação de que pode ser dado um "consentimento alargado" para uma área de investigação científica quando as organizações utilizam informações pessoais para fins de investigação.
2. Avisos de privacidade: se houver um esforço desproporcionado em fornecer um aviso de privacidade para a reutilização de informações pessoais para investigação científica, as organizações não precisarão de emitir novamente um aviso, que terá de estar disponível no sítio Web da organização e os direitos continuarão a ser protegidos como habitualmente.
3. Tomada de decisões automatizada (ADM): as empresas poderem invocar toda a gama de bases legais ao utilizarem os dados pessoais dos cidadãos para tomarem decisões automatizadas sobre eles, desde que utilizem as salvaguardas pertinentes.
4. Cookies: alguns tipos de cookies podem ser instalados sem necessidade de consentimento, por exemplo, os utilizados para recolher informações para melhorar a funcionalidade do sítio Web.
Principais alterações
As principais alterações introduzidas pelo DUAA incluem:
- Tomada de decisões automatizada (ADM): permite que as organizações tomem decisões baseadas apenas no tratamento automatizado em circunstâncias mais amplas, desde que existam determinadas garantias. Estas salvaguardas incluem informar o indivíduo e oferecer-lhe o direito à intervenção humana no que respeita à tomada de decisões. No entanto, existem restrições à ADM para categorias especiais de dados.
- Acesso a temasuma regra de "paragem do relógio", que permite suspender os prazos de resposta se forem necessárias mais informações do requerente. Além disso, quando alguém pede acesso aos seus dados, as organizações só têm de efetuar pesquisas razoáveis e proporcionais.
- Interesses legítimos reconhecidos: um novo fundamento jurídico para o tratamento de dados pessoais. Se este fundamento jurídico for aplicável, não é necessário ponderar o impacto sobre as pessoas cujas informações pessoais estão a ser utilizadas, face aos benefícios. Normalmente, isto seria feito através da realização de uma Avaliação de Interesses Legítimos (AIL). O DUAA estabelece uma lista de fundamentos pré-aprovados, que inclui a segurança nacional, a resposta a emergências e a proteção de crianças ou indivíduos em risco.
- Proteção de dados das criançasQuando prestam um serviço em linha suscetível de ser utilizado por crianças, as organizações devem ter em conta a forma de apoiar e proteger as crianças quando ponderam a utilização das suas informações pessoais.
- Queixas: obrigação de ajudar as pessoas que desejem apresentar queixas sobre o tratamento dos seus dados pessoais e um prazo para a receção (no prazo de 30 dias e para responder "sem demora injustificada").
Novos poderes da OIC
As empresas devem estar cientes de que, ao abrigo do DUAA, o ICO será reestruturado de uma forma comparável a outras entidades reguladoras do Reino Unido, com um diretor executivo e um conselho de administração. Paul Arnold foi anunciado como o primeiro diretor executivo. Os poderes do ICO são também alargados, com novos poderes de investigação e de aplicação da lei, e a capacidade de aplicar sanções até 17,5 milhões de libras ou 4% do volume de negócios global. Um dos novos poderes do ICO é a possibilidade de emitir "avisos de entrevista" e "avisos de informação", através dos quais o ICO avaliará se as disposições relativas à proteção de dados foram violadas. O ICO terá de equilibrar estes poderes alargados com os seus novos deveres e requisitos de informação.
Por conseguinte, é mais importante do que nunca garantir que as organizações estejam em conformidade e possam produzir registos adequados e justificar os seus processos. No que respeita à utilização de sistemas de IA, as empresas devem compreender os riscos associados, a forma de os atenuar e as questões de privacidade que podem surgir.
Nas suas orientações, o ICO confirma que continuará a funcionar como uma "entidade reguladora fiável, justa e independente" e que se concentrará em continuar a oferecer aconselhamento e serviços, ao mesmo tempo que "reduzirá os encargos regulamentares" e incentivará a "inovação e o crescimento".
Garantir a conformidade
Compreender os requisitos
As empresas devem rever todas as disposições fundamentais e estar cientes das alterações existentes e futuras para garantir que as políticas e práticas relevantes sejam actualizadas quando necessário. Sugerimos também que as empresas leiam as diretrizes apropriadas abaixo indicadas e continuem atentas a outros comentários e orientações (note-se que serão publicadas oportunamente outras diretrizes do ICO).
Compreender quais as alterações aplicáveis ao seu modelo empresarial específico e quais as partes da sua empresa que serão afectadas será crucial para cumprir os requisitos.
O DUAA é extenso e pode valer a pena procurar aconselhamento jurídico para garantir que a sua empresa está em conformidade com a regulamentação atual em matéria de proteção de dados e que está preparada para futuras alterações.
Atualização de políticas, contratos, materiais e sistemas de formação
Também é importante considerar se os materiais de formação dos funcionários e os contratos com os clientes precisam de ser actualizados. A atualização das políticas e dos contratos não só ajudará a garantir a conformidade, como também poderá promover a confiança dos clientes e minimizar os riscos.
Exemplos específicos de empresas sobre como atualizar sistemas e políticas:
- Estabelecer um sistema adequado para tratar as queixas relativas à utilização de dados, se ainda não o tiver feito.
- Criar um sistema adequado para a proteção das crianças que utilizam sistemas em linha.
- Registar e mapear todos os tratamentos baseados em interesses legítimos reconhecidos e atualizar as políticas de privacidade de modo a reflecti-los.
- Examinar e registar a utilização que a sua organização faz da IA na tomada de decisões automatizada, a forma como estes sistemas funcionam, os tipos de dados introduzidos e o raciocínio para a utilização da tomada de decisões automatizada.
- Se introduzir alterações nos seus processos para melhorar a inovação, actualize as políticas de privacidade e os contratos relevantes em conformidade.
- Assegurar que as políticas deixam claro quais as salvaguardas existentes em relação à tomada de decisões automatizada.
- Considere a possibilidade de nomear um responsável pela proteção de dados (DPO) para supervisionar os esforços de conformidade e atuar como ponto de contacto para questões relacionadas com os dados.
Orientações da OIC: As organizações do Reino Unido podem beneficiar das novas leis de proteção de dados | ICO
Orientações governamentais: Lei dos Dados (Utilização e Acesso) de 2025: alterações à proteção de dados e à privacidade - GOV.UK
Outras notícias
23andMe
A 23andMe, uma empresa de testes genéticos, foi multada em 2,31 milhões de libras pelo ICO por ter adotado medidas de segurança inadequadas para proteger as informações pessoais. Esta multa vem na sequência de um ciberataque em 2023 que levou à exposição dos dados pessoais (incluindo dados genéticos) de mais de 150 000 utilizadores no Reino Unido e de milhões em todo o mundo. Foi noticiado que, embora tenha havido queixas de roubo de dados no início de 2023, que foram rejeitadas por não serem legítimas, não houve uma investigação completa até os dados roubados estarem à venda no Reddit em outubro de 2023. Este caso realça a importância de ter em vigor medidas de segurança adequadas, como a autenticação multifactor, e de tomar precauções adicionais quando se detêm dados de categorias especiais.
UE prorroga decisões de adequação para o Reino Unido por 6 meses
A Comissão Europeia prorrogou as suas decisões de adequação relativas às transferências de dados com o Reino Unido por 6 meses, expirando agora em 27 de dezembro de 2025. Isto dará tempo para a avaliação do DUAA. "Adequação" é a forma como a UE descreve a capacidade dos países considerados capazes de proporcionar um nível de proteção de dados "essencialmente equivalente" ao da UE.
Internet das Coisas - orientações actualizadas do OIC
O ICO emitiu orientações actualizadas relativamente ao tratamento de dados pessoais em produtos de consumo da Internet das Coisas (IoT) e à forma como a legislação de proteção de dados do Reino Unido e os Regulamentos sobre Privacidade e Comunicações Electrónicas de 2003. Os tipos de produtos IoT de consumo incluem lâmpadas inteligentes e relógios inteligentes. Veja as orientações completas aqui: Sobre este guia | ICO.
Novas leis sobre IA no Brasil
O Brasil propõe um projeto de lei para a regulamentação da IA que se centra no risco e no estabelecimento de direitos individuais. Considera certos sistemas de IA como sendo de risco excessivamente elevado, por exemplo, os que são utilizados para efeitos de "pontuação social" (utilizando a IA para atribuir um valor aos indivíduos com base no seu valor, monitorizando-os, determinando os seus direitos).
Como podemos ajudar
Podemos ajudar a compreender a forma como a legislação sobre dados do Reino Unido afecta a sua empresa e a melhor forma de a proteger. Se necessitar de rever ou atualizar as suas políticas e contratos, entre em contacto com a nossa equipa.
Olívia Crolla
Solicitador associado
