UK GDPR: Guia prático de conformidade 2025

Introdução ao UK GDPR

O Regulamento Geral de Proteção de Dados do Reino Unido (UK GDPR) é uma lei central de proteção de dados no Reino Unido (RU). Baseado no Regulamento Geral sobre a Proteção de Dados da União Europeia (EU GDPR), foi adaptado para atender às necessidades específicas do Reino Unido após o período de transição após o Brexit. O principal objetivo do UK GDPR é garantir que todas as organizações com sede no Reino Unido salvaguardem informações pessoais, incluindo dados pessoais coletados de indivíduos localizados no Reino Unido, garantindo que as organizações tratem esses dados de maneira responsável e transparente.

O UK GDPR se aplica a todas as organizações que i) estão baseadas no Reino Unido; ou ii) envolvem-se no processamento de dados pessoais pertencentes a titulares de dados residindo no Reino Unido. Isso inclui empresas, instituições de caridade e autoridades públicas. Desde sua execução em janeiro de 2021, o regulamento tem sido supervisionado pela Comissão de Informação (ICO), que garante a conformidade e aborda as violações de acordo com os princípios estabelecidos de proteção de dados e os princípios, direitos e obrigações estabelecidos na legislação.

Os princípios fundamentais que sustentam o UK GDPR incluem legalidade, justiça e transparência—garantindo que os dados sejam coletados para propósitos claros e sejam adequados, relevantes e limitados ao que é necessário. As organizações devem estabelecer uma base legal para o processamento de dados pessoais, seja por meio da obtenção de consentimento, cumprimento de obrigações contratuais ou demonstração de interesses legítimos. O regulamento também concede aos titulares de dados direitos significativos, incluindo o direito de acessar, corrigir e excluir suas informações pessoais.

Para cumprir com o UK GDPR e a Lei de Proteção de Dados de 2018, as organizações devem implementar medidas técnicas e organizacionais apropriadas para proteger os dados contra perda, destruição ou danos, e manter sua confidencialidade e integridade. Esses requisitos estão alinhados com os regulamentos gerais de proteção de dados observados na Área Econômica Europeia (EEE).

A não conformidade com a estrutura de proteção de dados do Reino Unido pode levar a penalidades severas. Somente em 2024, a autoridade de proteção de dados do Reino Unido, a ICO, lidou com 36.049 reclamações. Apesar da importância global dos direitos de privacidade, a conscientização sobre as informações coletadas e regulamentadas sob as leis locais de privacidade continua limitada. Em julho de 2024, apenas 57% dos indivíduos no Reino Unido estavam cientes de seus direitos de dados, em comparação com 53% globalmente.

Em 2025, o Reino Unido emitiu sua maior multa relacionada ao GDPR até agora, reforçando a importância crítica da adesão regulatória. Notavelmente, a British Airways foi multada em €22,05 milhões em 2020 por violações do GDPR—um caso benchmark sob ambos os quadros do EU GDPR e UK GDPR.

Entendendo o GDPR no Reino Unido pós-Brexit

Com o Reino Unido agora fora da União Europeia, as empresas devem reconhecer que, embora o GDPR tenha sido mantido no Reino Unido por meio da Lei de Proteção de Dados de 2018, nuances requerem atenção. A transição do direito da UE para o direito do Reino Unido tem implicações significativas para empresas que operam com a UE, principalmente em relação à conformidade e aplicação. A Lei mantém os direitos fundamentais dos indivíduos em relação aos seus dados pessoais, enfatizando a transparência, a responsabilidade e a segurança. As empresas de serviços financeiros devem adaptar suas práticas para alinhar-se ao UK GDPR e regulamentos específicos do Reino Unido, garantindo que protejam dados de clientes de forma eficaz enquanto cumprem os requisitos legais.

Integrar práticas empresariais eficazes é crucial para garantir a conformidade com o GDPR. As organizações devem adotar medidas tecnológicas e organizacionais adequadas durante a fase de design e ao longo do ciclo de vida do processamento de dados, garantindo que os princípios de proteção de dados sejam seguidos em suas operações comerciais.

Para orientações detalhadas, as empresas podem consultar o site da Comissão de Informação (ICO), que fornece recursos, ferramentas e suporte para ajudar as organizações a cumprir as leis de proteção de dados no Reino Unido. A ICO desempenha um papel crucial na aplicação da conformidade, responsabilizando as organizações por violações de proteção de dados e moldando as políticas de privacidade.

O UK GDPR é fundamentado em vários princípios-chave, incluindo:

1. Legalidade, equidade e transparência

• Serviços Financeiros: Assegurar um processamento de dados transparente, especialmente para obrigações de KYC e PLD.
• Marketplaces/E-commerce/Economia de Gig: Informar claramente os clientes sobre como os dados são usados para recomendações e marketing.
• Mobilidade/Transporte: Abordar a transparência no processamento de dados de localização para otimização de serviços.
• Legalidade, equidade e transparência: As organizações devem estabelecer uma base legal para o processamento de dados pessoais, como obter consentimento explícito. Gerenciar a conformidade com as obrigações do GDPR pode ser desafiador devido às complexidades envolvidas em aspectos como acessibilidade e portabilidade dos dados.

2. Limitação de propósito

• Serviços Financeiros: Os dados coletados para conformidade não podem ser reutilizados sem um consentimento claro. É crucial obter consentimento para qualquer reutilização de dados, garantindo que seja explícito, informado e livremente dado, em conformidade com os requisitos do GDPR.
• Marketplaces/E-commerce/Economia de Gig: Limitar o uso de dados a fins específicos e divulgados, como marketing personalizado.
• Mobilidade/Transporte: Garantir que os dados de localização sejam usados exclusivamente para os serviços pretendidos (por exemplo, otimização de rotas).

3. Minimização e precisão dos dados

• Em todos os setores, colete apenas os dados necessários e mantenha-os precisos para evitar riscos desnecessários, garantindo que os dados sejam adequados, relevantes e limitados ao seu propósito.
• Implementar medidas de minimização de dados é crucial para reduzir os riscos à privacidade dos indivíduos e garantir a conformidade com os princípios do GDPR.

4. Limitação de armazenamento

• Implementar períodos de retenção apropriados e excluir dados desatualizados prontamente.

5. Integridade e confidencialidade

• Processamento de dados seguro, protegendo contra acesso não autorizado e violações.
• Implementar salvaguardas adequadas, como regras corporativas vinculativas e cláusulas contratuais padrão, é crucial para garantir a proteção de dados pessoais quando transferidos para fora da Área Econômica Europeia.

6. Responsabilidade

• Exige que os controladores cumpram com os princípios de proteção de dados e sejam capazes de demonstrar esse cumprimento através de processos e registros adequados.

Papel do agente de proteção de dados

Um Agente de Proteção de Dados (DPO) desempenha um papel crucial em garantir a conformidade de uma organização com o UK GDPR. O DPO é encarregado de monitorar e aconselhar sobre práticas de proteção de dados dentro da organização, garantindo que todas as atividades estejam alinhadas com a legislação de proteção de dados.

O UK GDPR descreve as responsabilidades específicas do Agente de Proteção de Dados (DPO) no Artigo 39, que incluem:

• informar e aconselhar sobre a conformidade com o UK GDPR e outras leis de proteção de dados do Reino Unido;
• monitorar a conformidade com a lei e com as políticas internas da organização, incluindo atribuição de responsabilidades, conscientização e treinamento da equipe;
• aconselhar e monitorar avaliações de impacto sobre a proteção de dados quando solicitado; e
• cooperar e atuar como ponto de contato com a autoridade supervisora.

Lista de verificação de conformidade passo a passo

1. Mapeamento de dados

Identifique quais dados pessoais você coleta, de quem e como são processados. Crie um inventário abrangente de dados, também conhecido como registro de atividades de processamento, que inclua todos os requisitos relevantes estabelecidos no Artigo 30 do UK GDPR, como:

• Tipos de dados pessoais processados (por exemplo, nomes de clientes, endereços, detalhes financeiros);
• Finalidades do processamento de dados (por exemplo, gestão de contas, detecção de fraudes);
• Períodos de retenção de dados;
• Categorias de titulares de dados (por exemplo, clientes, funcionários);
• Categorias de destinatários de dados (por exemplo, processadores);
• Descrição das medidas de segurança técnicas e organizacionais em vigor.

Além disso, certos riscos devem ser determinados após uma violação para garantir a notificação adequada aos titulares de dados.

Documentar e gerenciar operações de processamento é crucial para manter os princípios de proteção de dados e garantir a conformidade com as regulamentações.

Atualize regularmente seu mapeamento de dados para refletir quaisquer mudanças nas atividades de processamento de dados.

Lista de verificação de conformidade do setor:

• Serviços Financeiros: Inclua dados de clientes e transacionais; identifique os processadores de dados.
• Marketplaces/E-commerce: Mapeie as interações com os clientes, dados coletados para transações e marketing.
• Mobility/Transportation: Document location data flows and associated user data.
  

2. Base legal de gestão

De acordo com o UK GDPR e a Lei de Proteção de Dados do Reino Unido de 2018, documentar uma base legal válida para o processamento de dados pessoais em conformidade com o Artigo 6 (e os Artigos 9 e 10, se o processamento envolver dados de categoria especial ou de ofensa criminal) é essencial. As organizações devem estabelecer uma base legal para o processamento de dados pessoais, como a obtenção de consentimento explícito.

Se você considerar o consentimento como a base legal mais apropriada para a atividade de processamento, implemente processos para garantir:

• Os pedidos de consentimento são claros, concisos, facilmente compreensíveis e mantidos separados de outros termos e condições;
• Os pedidos de consentimento devem ser fáceis de entender e simples para os indivíduos revogarem;
• O pedido de consentimento requer um opt-in ativo em vez de caixas pré-marcadas;
• O pedido de consentimento contém informações sobre sua empresa e quaisquer terceiros que dependam do consentimento;
• Os clientes podem fornecer ou revogar o consentimento facilmente;
• A documentação do consentimento é mantida para demonstrar conformidade.

Revise regularmente as práticas de consentimento para garantir que estejam alinhadas com os requisitos legais.

Se sua empresa processa dados de categoria especial ou de ofensa criminal, lembre-se de documentar considerações sobre os requisitos do Artigo 9 ou 10 do UK GDPR e Anexo 1 da Lei de Proteção de Dados do Reino Unido de 2018, quando relevante.

3. Avisos de privacidade

Elabore avisos de privacidade claros que destaquem as informações coletadas, a base legal, as políticas de retenção e os direitos dos titulares de dados. Empresas de serviços financeiros devem fornecer avisos de privacidade claros aos clientes, detalhando como seus dados pessoais serão utilizados. Certifique-se de que seus avisos de privacidade incluam as informações obrigatórias exigidas pelos Artigos 13 e 14 do UK GDPR, tais como:

• A identidade do controlador de dados (sua empresa) e os detalhes de contato do responsável pela proteção de dados (DPO);
• Quais informações são coletadas;
• Os propósitos e as bases legais do processamento dos dados (por exemplo, consentimento, contrato, obrigação legal);
• Fontes de dados pessoais;
• Destinatários de dados pessoais;
• Informações sobre os períodos de retenção de dados e os direitos dos titulares de dados (por exemplo, direito de revogar consentimento e acessar seus dados).

É crucial destacar as bases legais para o processamento de dados pessoais sob o UK GDPR, enfatizando a necessidade de consentimento na maioria dos casos comerciais.

Fornecer avisos de privacidade é uma exigência legal sob o UK GDPR.

Torne os avisos de privacidade facilmente acessíveis aos clientes, garantindo que eles entendam seus direitos.

4. Avaliações de impacto sobre proteção de dados (DPIAs)

Realize DPIAs para quaisquer novos projetos ou atividades de processamento que possam resultar em alto risco aos direitos e liberdades dos clientes. Esse processo deve identificar riscos potenciais aos dados pessoais e delinear medidas para mitigar esses riscos. A identificação de vulnerabilidades nos sistemas é crucial para cumprir com as regulamentações de proteção de dados e evitar exploração. Documente seu processo e descobertas da DPIA. Implementar salvaguardas apropriadas, como regras corporativas vinculativas e cláusulas contratuais padrão, é crucial para mitigar os riscos identificados nas DPIAs.

5. Procedimentos de relato de violação

Estabeleça procedimentos claros para relatar violações de dados. Nos termos do UK GDPR, os controladores devem:

• Notificar o Escritório do Comissário de Informação (ICO) dentro de 72 horas após tomar conhecimento de uma violação.
• Comunicar a violação aos indivíduos afetados se ela representar um alto risco aos seus direitos e liberdades.

A implementação sistemática de medidas de proteção de dados é crucial para garantir a conformidade com os requisitos do GDPR.

Assegure-se de que todos os funcionários sejam treinados para reconhecer e relatar violações de dados prontamente.

6. Gestão dos direitos dos titulares de dados

Crie sistemas para lidar com pedidos de titulares de dados, garantindo que o acesso, a correção, a exclusão e a portabilidade de dados sejam respeitados. Estabeleça processos para registrar, rastrear e responder de maneira eficiente e oportuna a um pedido de titular de dados. Certifique-se de que seus funcionários estejam treinados sobre como facilitar os direitos dos clientes sob o UK GDPR, que incluem:

• Direito de ser informado e acessar: Os clientes têm o direito de serem informados sobre o processamento de dados pessoais e podem solicitar cópias de seus dados pessoais.
• Direito à retificação: Os clientes podem solicitar correções de dados imprecisos.
• Direito ao apagamento: Os clientes podem solicitar a exclusão de seus dados sob certas circunstâncias.
• Direito à portabilidade dos dados: Os clientes podem solicitar receber seus dados em um formato estruturado.

É crucial informar os indivíduos sobre seus direitos, como a capacidade de se opor ao processamento de seus dados e acessar suas próprias informações pessoais, sublinhando assim a estrutura regulatória projetada para proteger os direitos de privacidade individual.

Certifique-se de que sua empresa seja diligente na execução dos direitos dos titulares de dados.

7. Treinamento e conscientização dos funcionários

Treine a equipe regularmente nos princípios do UK GDPR e nas melhores práticas de proteção de dados, reforçando a conscientização e a responsabilidade. Eduque os funcionários sobre a conformidade com o UK GDPR e os princípios de proteção de dados. Sessões de treinamento regulares devem abordar:

• A importância da proteção de dados.
• Como lidar com dados pessoais com segurança.
• Procedimentos para relatar violações de dados e lidar com solicitações de clientes.

Considere implementar treinamento anual de indução e reciclagem e treinamento baseado em função. Promover uma cultura de proteção de dados dentro de sua organização é vital para manter a conformidade.

8. Acordos de processamento de dados de terceiros

Estabeleça acordos de processamento de dados com todos os fornecedores que processam dados pessoais, garantindo padrões de conformidade com o GDPR. Se sua empresa de serviços financeiros trabalhar com processadores de dados de terceiros, certifique-se de que você tenha Acordos de Processamento de Dados (DPAs) estabelecidos. Esses acordos devem:

• Especificar os papéis e responsabilidades de ambas as partes em relação ao processamento de dados;
• Cobrir os detalhes principais sobre o processamento, como objeto, duração, natureza, tipos de dados e titulares de dados envolvidos;
• Delimitar as medidas de segurança que devem ser implementadas para proteger os dados pessoais;
• Incluir cláusulas sobre notificação de violação de dados e conformidade com as leis de proteção de dados aplicáveis.

É crucial incluir um acordo de processamento de dados em contratos com processadores de dados de terceiros para garantir a conformidade com o GDPR, incluindo sua aplicabilidade extraterritorial.

O que devo fazer em caso de violação de dados?

Em caso de violação de dados, é necessário seguir algumas etapas importantes para gerenciar e mitigar a situação de forma eficaz. Aqui está um guia prático com base nas melhores práticas e diretrizes regulatórias:

1. Contenha e avalie a violação

• Contenção: Tome imediatamente medidas para conter a violação e evitar novas compromissos. Isso pode envolver desconectar sistemas afetados da rede, alterar senhas ou desabilitar contas comprometidas.
• Avaliação inicial: Avalie quais dados foram comprometidos, a causa e o impacto da violação. Determine se a violação está em andamento ou se já foi resolvida.

2. Avaliar riscos e danos potenciais

• Identifique os indivíduos que podem ser afetados e os potenciais riscos que isso representa para eles, considerando a natureza dos dados e sua sensibilidade. Avalie as potenciais consequências, como roubo de identidade, perda financeira ou ameaças à privacidade de um indivíduo.

3. Notifique as autoridades relevantes (se necessário)

• Se você é um controlador sujeito ao UK GDPR, notifique a Information Commissioner’s Office (ICO) dentro de 72 horas se isso apresentar risco para os direitos e liberdades dos indivíduos.
• Se um relatório oportuno não for possível, documente o motivo do atraso e forneça o máximo de informações possível sobre a violação em seu relatório inicial.
• Se você decidir que a notificação ao ICO não é necessária, certifique-se de documentar o motivo para isso.

4. Notifique os indivíduos afetados (se necessário)

• Se a violação representar um alto risco para os direitos e liberdades dos indivíduos, o controlador deve informá-los o mais rápido possível. A transparência permite que eles se protejam, como monitorar suas contas, alterar senhas ou estar atentos a possíveis tentativas de phishing.
• Use linguagem clara e simples para explicar a violação, seu impacto e as etapas de proteção recomendadas. 

5. Documente a violação

• Mantenha um registro interno para documentar todos os detalhes relacionados à violação, mesmo que a notificação não seja exigida. Registre quando e como a violação foi descoberta, dados afetados, ações de contenção e comunicações com indivíduos ou autoridades.
• Um registro minucioso apoia a análise de incidentes e melhora as práticas de segurança futuras.

6. Revise e atualize as práticas de segurança

• Uma vez que a resposta imediata seja concluída, analise a causa raiz da violação e tome medidas corretivas. Isso pode incluir o fechamento de controles de acesso, fornecer treinamento adicional aos funcionários ou melhorar as salvaguardas técnicas.
• Revise e atualize regularmente as políticas e procedimentos de proteção de dados para evitar futuras violações.

7. Aprenda com o incidente

• Realize uma revisão pós-incidente para identificar fraquezas nas práticas de segurança e resposta a incidentes. Aproveite as lições aprendidas para melhorar a gestão de riscos, aumentar a conscientização sobre a privacidade, refinar planos de resposta e fortalecer a postura geral de segurança dos dados da empresa.

Dicas adicionais:

• Notifique seu provedor de seguros: Se você tem seguro cibernético que cobre violações de dados, notifique seu provedor.
• Busque orientação jurídica: As violações de dados podem envolver indivíduos em várias jurisdições, portanto, busque orientação jurídica para garantir conformidade regional.  

Conclusão

A conformidade com o UK GDPR e a Lei de Proteção de Dados do Reino Unido de 2018 é mais do que uma obrigação regulatória para empresas de serviços financeiros; é um compromisso de proteger os dados dos clientes e promover a confiança. Seguindo uma abordagem estruturada e passo a passo, sua organização pode gerenciar efetivamente os requisitos de proteção de dados, proteger informações dos clientes e manter a conformidade.

Para obter mais orientações, as empresas podem consultar as diretrizes e as melhores práticas das autoridades relevantes sobre proteção de dados e privacidade, que oferecem informações valiosas para gerenciar dados pessoais de forma responsável na era digital atuais. A adoção dessas práticas ajudará a garantir que seus serviços financeiros permaneçam em conformidade e centrados no cliente em um ambiente regulatório em constante evolução.

Apoio da Veriff na conformidade dos clientes

As a data processor for identity verification services, Veriff is dedicated to empowering our customers, the data controllers, to align with GDPR principles. Here are some key elements regarding personal data processing and the best practices Veriff follows:

● Aviso de privacidade: A Veriff fornece um Aviso de Privacidade detalhado explicando como lidamos com dados pessoais em nossos serviços, apoiando os esforços de transparência de nossos clientes. No entanto, este Aviso não substitui a necessidade de que os controladores publiquem sua própria documentação de transparência conforme exigido pelas leis aplicáveis.

● Retenção definida de dados: Os dados pessoais coletados para fins de serviço são retidos de acordo com termos fixos estabelecidos em acordos com clientes e políticas internas, nunca mantidos indefinidamente.

● Medidas técnicas e organizacionais robustas: A Veriff utiliza criptografia para dados em repouso e em trânsito. Nosso serviço é certificado sob ISO/IEC 27001:2022, SOC 2 Tipo II e Cyber Essentials, garantindo segurança de dados de alto nível. Descubra mais sobre nossas práticas de segurança na página Segurança e Conformidade e no Centro de Confiança da Veriff.

● Avaliações de privacidade e equipe: Nossa equipe legal de Produto e Privacidade trabalha com nosso responsável pela proteção de dados para realizar avaliações de impacto sobre proteção de dados, abordando proativamente os riscos em nossos produtos e serviços.

● Auditoria de produto de GDPR: Realizamos auditorias regularmente para confirmar que o serviço da Veriff está em conformidade com o GDPR, demonstrando nosso compromisso com a responsabilidade e altos padrões de proteção de dados. Baixe o resumo da auditoria aqui.

Por favor, note que a Veriff não fornece consultoria jurídica. Este artigo é fornecido apenas para fins informativos. Você deve sempre discutir suas operações ou questões de privacidade e proteção de dados com um advogado qualificado ou especialistas em privacidade.

FAQ sobre o GDPR do Reino Unido

1. O que é o UK GDPR?

É a versão do Reino Unido do Regulamento Geral de Proteção de Dados, baseada no GDPR da UE. Juntamente com a Lei de Proteção de Dados de 2018, elas formam a espinha dorsal da estrutura de privacidade do Reino Unido.

2. Quem está sujeito ao UK GDPR?

Qualquer organização que processe dados pessoais de indivíduos localizados no Reino Unido — independentemente de onde a organização está baseada; e qualquer organização que, no sentido do UK GDPR, esteja estabelecida no Reino Unido.

3. O que constitui dados pessoais?

Qualquer informação coletada que se relacione com um indivíduo identificável — incluindo nomes, endereços, detalhes financeiros e identificadores biométricos.