Când Regatul Unit s-a separat oficial de legislația UE privind protecția datelor în ianuarie 2021, multe organizații au presupus că tranziția va fi administrativă. Rebrandarea GDPR, numirea unui reprezentant local, actualizarea notificării de confidențialitate. Ceea ce a urmat a fost ceva mai exigent. Biroul Comisarului pentru Informații a emis aproximativ 65 de milioane de lire sterline în penalități legate de GDPR în anii următori introducerii legii. Capita a primit 14 milioane de lire sterline într-o singură penalitate în octombrie 2025. ICO a publicat orientări actualizate privind amenzile în martie 2024, care au făcut mai sistematică calea de la încălcare la penalitatea maximă. Iar pe 19 iunie 2025, Legea privind datele (utilizare și acces) a primit Ascensiunea Regală, introducând cele mai semnificative modificări ale legislației britanice privind protecția datelor de la Brexit: noi categorii de interes legitim, reguli reformate privind consimțământul pentru cookie-uri, prevederi actualizate privind luarea automată a deciziilor și obligații consolidate de gestionare a reclamațiilor.
Deși GDPR din Regatul Unit reflectă îndeaproape omologul său din UE, este un cadru de reglementare distinct, cu propria autoritate de supraveghere, mecanisme de transfer și o agendă de reformă în evoluție. Pentru orice organizație care prelucrează datele cu caracter personal ale rezidenților britanici, indiferent dacă are sediul în Londra sau Los Angeles, înțelegerea a ceea ce necesită efectiv GDPR din Regatul Unit, cui se aplică și care sunt costurile neconformității în practică nu mai este o lectură de fundal opțională. Acest ghid oferă această bază.
Cui se aplică GDPR din Regatul Unit?
GDPR din Regatul Unit se aplică oricărei organizații care prelucrează date cu caracter personal ale rezidenților din Regatul Unit, indiferent de locul în care este situată organizația. O companie americană de software cu clienți britanici trebuie să respecte. O afacere din UE care prelucrează datele persoanelor care sunt rezidente în Regatul Unit trebuie să respecte. Regulamentul se aplică operatorilor de date, care determină scopurile și mijloacele de prelucrare, și persoanelor împuternicite de operatori, care prelucrează datele în numele operatorilor. Ambele au obligații distincte și ambele pot fi amendate.
Domeniul de aplicare teritorială este confirmat prin două condiții: prelucrarea se efectuează în contextul unui stabiliment din Regatul Unit sau prelucrarea se referă la oferirea de bunuri sau servicii persoanelor vizate din Regatul Unit sau la monitorizarea comportamentului acestora în Regatul Unit. Organizațiile cu sediul în afara Regatului Unit care îndeplinesc oricare dintre aceste condiții trebuie să numească un reprezentant din Regatul Unit, cu excepția cazului în care se califică pentru o exceptare. Din 2021, ICO a urmărit aplicarea legii împotriva entităților non-britanice, inclusiv penalitatea de 7,5 milioane de lire sterline împotriva Clearview AI și acțiuni de reglementare împotriva mai multor brokeri de date americani care operează pe piețele britanice fără infrastructură de conformitate.
Cele șapte principii fundamentale ale GDPR din Regatul Unit
Articolul 5 din GDPR din Regatul Unit stabilește șapte principii care guvernează toată prelucrarea datelor cu caracter personal. Acestea nu sunt orientări aspiraționale. Încălcarea principiilor de bază are cea mai înaltă categorie de amendă administrativă: până la 17,5 milioane de lire sterline sau 4 la sută din cifra de afaceri anuală globală, oricare ar fi mai mare. Fiecare activitate de prelucrare a datelor desfășurată de o organizație trebuie să fie defensabilă în conformitate cu toate cele șapte principii următoare.
| Principiu | Ce necesită | Risc de afaceri |
|---|---|---|
| Legalitate, corectitudine și transparență | Bază juridică clară pentru prelucrare; fără practici înșelătoare de date | 17,5 milioane lire sterline / 4% cifră de afaceri globală |
| Limitarea scopului | Datele utilizate doar pentru scopuri specificate, explicite, legitime | Notificare de aplicare ICO + amendă |
| Minimizarea datelor | Colectați doar ceea ce este adecvat, relevant și necesar | Mustrare + ordin de conformitate |
| Exactitate | Păstrați datele cu caracter personal actualizate; ștergeți sau rectificați prompt | Cereri de despăgubire + amenzi |
| Limitarea stocării | Păstrați datele nu mai mult decât este necesar | Audit ICO + aplicare |
| Integritate și confidențialitate | Măsuri tehnice și organizatorice de securitate necesare | Până la 17,5 milioane lire sterline (Capita: 14 milioane lire sterline) |
| Responsabilitate | Demonstrați conformitatea; mențineți ROPA | Eșec la audit = amendă imediată |
Principiul responsabilității merită o atenție deosebită, deoarece este mecanismul prin care toate celelalte sunt aplicate. Responsabilitatea în temeiul GDPR din Regatul Unit nu este pasivă: organizațiile trebuie să demonstreze în mod activ conformitatea, să mențină un registru al activităților de prelucrare (ROPA), să efectueze evaluări ale impactului asupra protecției datelor (DPIA) pentru prelucrarea cu risc ridicat și să numească un responsabil cu protecția datelor (DPO) acolo unde este necesar. ICO poate solicita dovezi ale acestor activități în orice moment, iar nerespectarea acesteia constituie independent o încălcare.
Temeiuri juridice pentru prelucrare
Fiecare activitate de prelucrare necesită un temei juridic. GDPR din Regatul Unit oferă șase: consimțământ, contract, obligație legală, interese vitale, sarcină publică și interese legitime. Alegerea temeiului juridic nu este interschimbabilă și trebuie determinată înainte de începerea prelucrării. Schimbarea temeiurilor juridice ulterior nu este permisă.
Consimțământul în temeiul GDPR din Regatul Unit trebuie să fie acordat în mod liber, specific, informat și neechivoc. Căsuțele bifate în prealabil, consimțământul grupat și consimțământul obținut ca o condiție a serviciului nu îndeplinesc standardul. Consimțământul trebuie să fie la fel de ușor de retras ca și de acordat. Legea privind datele (utilizare și acces) 2025 a actualizat regulile privind consimțământul pentru cookie-uri, introducând cinci excepții în care consimțământul nu este necesar, inclusiv cookie-uri strict necesare pentru un serviciu solicitat de utilizator, scopuri statistice și asistență de urgență. Cu toate acestea, cookie-urile de publicitate, analiză dincolo de aceste excepții și cookie-urile de personalizare continuă să necesite consimțământ explicit de tip opt-in.
Interesele legitime sunt adesea aplicate greșit. Necesită o evaluare în trei părți: identificarea unui interes legitim, demonstrarea că prelucrarea este necesară pentru acel interes și echilibrarea acestuia cu drepturile persoanei vizate. DUAA 2025 a introdus o listă de interese legitime recunoscute în care testul de echilibrare este considerat satisfăcut, inclusiv prevenirea fraudei, securitatea rețelei și marketingul direct către clienții existenți. În afara acestor categorii, un test de echilibrare documentat este obligatoriu.
Drepturile individuale în temeiul GDPR din Regatul Unit
GDPR din Regatul Unit conferă opt drepturi executabile persoanelor vizate. Organizațiile trebuie să răspundă la solicitări în termen de o lună, cu posibilitate de prelungire cu două luni pentru solicitări complexe. Nerespectarea este în sine o încălcare care poate declanșa plângeri la ICO și acțiuni de aplicare.
Dreptul de acces (DSAR): Persoanele pot solicita toate datele cu caracter personal deținute despre ele. Organizațiile trebuie să furnizeze o copie gratuită în majoritatea circumstanțelor. DUAA 2025 a codificat principiul „opriți ceasul": termenele de răspuns se întrerup atunci când se solicită clarificări de la persoana vizată.
Dreptul la ștergere: Numit și „dreptul de a fi uitat", acesta permite persoanelor să solicite ștergerea datelor cu caracter personal în circumstanțe definite, inclusiv atunci când consimțământul este retras sau datele nu mai sunt necesare.
Dreptul la portabilitate: Persoanele pot solicita date cu caracter personal într-un format care poate fi citit automat pentru transfer către un alt operator, în cazul în care prelucrarea se bazează pe consimțământ sau contract.
Dreptul de opoziție: Persoanele se pot opune prelucrării bazate pe interese legitime sau pentru marketing direct. Obiecțiile la marketingul direct trebuie să fie întotdeauna onorate imediat.
Drepturi legate de luarea automată a deciziilor: DUAA 2025 a introdus noi reguli care permit decizii automate bazate pe AI pe motive de interese legitime pentru date nesensibile, cu garanții inclusiv drepturile de intervenție umană.
Cerințe de notificare a încălcării datelor
GDPR din Regatul Unit impune obligații stricte de raportare a încălcărilor. În cazul în care o încălcare a datelor cu caracter personal prezintă un risc pentru drepturile și libertățile persoanelor, ICO trebuie să fie notificată în termen de 72 de ore de la luarea la cunoștință a încălcării de către organizație. În cazul în care încălcarea este susceptibilă să ducă la un risc ridicat pentru persoane, persoanele vizate afectate trebuie, de asemenea, să fie notificate fără întârzieri nejustificate.
Ceasul de 72 de ore începe atunci când organizația ia la cunoștință, nu atunci când încălcarea este complet investigată. Organizațiile trebuie, prin urmare, să aibă infrastructură de detectare, escaladare și raportare a incidentelor capabilă să respecte acest termen. Încălcarea Capita, care a dus la o amendă de 14 milioane de lire sterline în octombrie 2025, a implicat atât măsuri de securitate inadecvate, cât și răspuns întârziat la incident: ICO a citat în mod explicit combinația ca factori agravați în calculul penalității sale.
Transferuri internaționale de date
Transferul de date cu caracter personal în afara Regatului Unit necesită garanții adecvate. Regatul Unit are propriul cadru de adecvare și a emis decizii de adecvare care acoperă SEE, statele membre ale UE și o serie de țări terțe. Pentru transferuri către alte destinații, organizațiile trebuie să utilizeze acorduri internaționale de transfer de date (IDTA), Addendum-ul britanic la clauzele contractuale standard ale UE sau Reguli corporative obligatorii. Podul de date Regatul Unit-SUA, stabilit în 2023, oferă un mecanism de transfer către organizațiile americane participante. Organizațiile nu ar trebui să presupună că mecanismele de transfer GDPR ale UE satisfac automat cerințele GDPR ale Regatului Unit: cadrele sunt separate și se aplică orientările ICO.
Pentru implementarea practică, o platformă de gestionare a consimțământului (CMP) care gestionează sincronizarea internațională a consimțământului și documentează mecanismele legale de transfer oferă un nivel critic de conformitate, asigurând că consimțământul persoanei vizate înregistrat în Regatul Unit este reflectat corespunzător în prelucrarea ulterioară de către persoanele împuternicite din țările neadecvate.
Costul real al neconformității cu GDPR din Regatul Unit
ICO a emis 16 amenzi GDPR din Regatul Unit, totalizând aproximativ 65 de milioane de lire sterline, între 2019 și septembrie 2025. Următorul tabel rezumă cele mai semnificative penalități și încălcările care le-au declanșat.
| Organizație | Amendă | An | Încălcare |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | 14 milioane lire sterline | octombrie 2025 | Încălcare ransomware; 6,6 milioane persoane vizate |
| Advanced Computer Software Group | 3,07 milioane lire sterline | 2025 | Vulnerabilități ransomware; date NHS |
| British Airways | 20 milioane lire sterline | 2020 | Încălcare de date; 400.000 clienți afectați |
| Clearview AI | 7,5 milioane lire sterline | 2022 | Colectare biometrică ilegală de pe internet |
Penalitățile financiare reprezintă doar o parte din costul real. Măsurile de aplicare nefinanciare, inclusiv interzicerile de prelucrare, ordinele de conformitate și suspendarea fluxurilor de date, pot perturba operațiunile mai sever decât amenzile. Prejudiciul de reputație din notificările publice de aplicare a ICO determină pierderea clienților, deteriorarea relațiilor cu partenerii și pierderea contractelor de întreprindere. Cercetările Institutului Ponemon constată în mod constant că costul total al unei încălcări de date, inclusiv detectarea, notificarea, răspunsul de reglementare și perturbarea afacerii, depășește amenda de reglementare cu un factor de trei până la cinci.
Cum arată infrastructura de conformitate GDPR din Regatul Unit în 2026
Conformitatea eficientă cu GDPR din Regatul Unit în 2026 necesită mai mult decât o politică de confidențialitate și un banner de cookie-uri. Necesită procese documentate, controale tehnice și capacitate operațională continuă. Strategia de urmărire online 2025 a ICO a crescut controlul implementării consimțământului în mod specific, cu accent pe dacă înregistrările de consimțământ pot demonstra efectiv consimțământul valid la nivel individual.
O platformă de gestionare a consimțământului (CMP) care blochează cookie-urile neesențiale înainte de consimțământul valid, menține înregistrări de consimțământ granulare cu marcaj temporal și sincronizează preferințele în mediile web și aplicații este acum infrastructură de bază pentru orice organizație britanică care colectează date cu caracter personal online. ICO s-a implicat cu IAB Tech Lab din ianuarie 2025 privind cadrul de solicitare de ștergere a datelor, consolidând faptul că retragerea consimțământului trebuie să se repercuteze asupra terților din ecosistemul tehnologic publicitar, nu doar asupra operatorului principal.
Dincolo de consimțământ, organizațiile trebuie să mențină un ROPA curent care acoperă toate activitățile de prelucrare, să numească un DPO acolo unde este necesar, să efectueze DPIA pentru proiecte cu risc ridicat, să instruiască personalul cu privire la obligațiile de protecție a datelor și să implementeze controale tehnice, inclusiv criptare, controale de acces și capacitate de detectare a încălcărilor. Sondajul privind încălcările securității cibernetice 2025 a constatat că 43 la sută din întreprinderile britanice au suferit încălcări sau atacuri în cele douăsprezece luni anterioare, echivalent cu aproximativ 612.000 de organizații care necesită evaluarea notificării încălcării.
Legea privind datele (utilizare și acces) 2025, în vigoare integral din 5 februarie 2026, reprezintă cea mai semnificativă actualizare a legislației britanice privind protecția datelor de la Brexit. Organizațiile care nu și-au revizuit programele de conformitate cu modificările DUAA 2025, în special privind interesele legitime, excepțiile privind consimțământul pentru cookie-uri, luarea automată a deciziilor și obligațiile de gestionare a reclamațiilor, ar trebui să trateze acest lucru ca o prioritate urgentă. Orientările actualizate privind amenzile ICO, publicate în martie 2024, fac calea de la încălcare la penalitatea maximă mai sistematică, iar registrul de aplicare din 2025 demonstrează că autoritatea este dispusă să impună penalități substanțiale în toate sectoarele.
Organizațiile care navighează cel mai eficient GDPR din Regatul Unit sunt cele care tratează protecția datelor ca infrastructură operațională, mai degrabă decât cheltuieli legale. Pentru persoanele vizate rezidente în Regatul Unit, conformitatea cu GDPR din Regatul Unit nu este opțională; este prețul de a face afaceri pe o piață de 67 de milioane de oameni ale căror drepturi asupra datelor sunt aplicate activ. Implementarea unei infrastructuri robuste de gestionare a consimțământului, menținerea documentației cuprinzătoare și construirea capacității de răspuns la încălcări nu sunt costuri de conformitate; acestea sunt fundamentul operațiunilor durabile de date.
Pentru lecturi suplimentare privind tehnologia consimțământului și cadrele de conformitate, consultați Tehnologia de conformitate în marketing: Cum navighează mărcile GDPR, reglementările de confidențialitate și siguranța mărcii la scară și platforme de gestionare a consimțământului: conformitatea GDPR, CCPA și tehnologia alegerii consumatorului.
