O que mudou a 19 de junho
A Data (Use and Access) Act 2025 recebeu a sanção real a 19 de junho de 2025 e está a ser ligada por fases. O regulamento de entrada em vigor, SI 2026 n. 82, fixa duas datas que importam aos operadores: 5 de fevereiro de 2026 para o grosso das alterações de proteção de dados e 19 de junho de 2026 para o regime de queixas da secção 103 e do anexo 10.
Desde essa segunda data, toda a organização sujeita ao UK GDPR tem de operar um procedimento formal de queixas de proteção de dados. A nova secção 164A da Data Protection Act 2018 exige vias acessíveis para apresentar queixa, incluindo um formulário eletrónico ao lado de canais como email e correio, uma confirmação de receção em 30 dias e um resultado substantivo comunicado numa linguagem que o queixoso entenda, com a indicação do direito de escalar para o ICO, a autoridade britânica.
Não há prazo legal para o resultado em si, mas o projeto de orientação do ICO recomenda resolver em três meses, salvo circunstâncias excecionais, e espera um processo visível: fácil de encontrar, ligado a partir das políticas de privacidade e do site. A fase de fevereiro trouxe também os interesses legítimos reconhecidos como fundamento jurídico, um mecanismo de suspensão do prazo nos pedidos de acesso e regras mais leves para certos cookies de baixo risco.
A parte silenciosa: multas de marketing 35 vezes maiores
A mudança que menos empresários notaram chegou antes. Desde 5 de fevereiro de 2026, os poderes sancionatórios do ICO sob o PECR, as regras do marketing direto eletrónico e dos cookies, saltaram de um teto de 500.000 libras para níveis do UK GDPR: até 17,5 milhões de libras ou 4 por cento da faturação anual global, consoante o que for mais alto.
Durante anos, a aplicação do PECR foi um incómodo limitado: uma campanha de email com consentimentos frágeis era, no pior dos casos, um problema de seis dígitos. Essa assimetria acabou. Uma lista de marketing com consentimentos desleixados joga agora na mesma classe sancionatória de uma violação de dados, e o novo canal de queixas dá a cada destinatário irritado uma via formal que, mal gerida, termina a porta do regulador.
O que as empresas expostas ao Reino Unido devem fazer agora
O alcance é mais largo do que muitos supõem. O UK GDPR aplica-se não só a empresas estabelecidas no Reino Unido, mas também às de fora que oferecem bens ou serviços a pessoas lá. A empresa portuguesa que exporta para Londres, a loja online com clientes britânicos, o SaaS com utilizadores em Manchester: o dever de queixas alcança-os a todos.
A construção não é pesada, e é precisamente por isso que não a ter fica mal. Publique uma via de queixa, incluindo um formulário eletrónico. Ligue-a aos processos que já opera para pedidos RGPD, com um responsável, um registo e confirmações padrão que vençam o relógio dos 30 dias com folga. Acompanhe os resultados contra a expectativa de três meses e registe a fundamentação de cada encerramento.
Depois trate o registo como aquilo que é: prova. Cada queixa, carimbo temporal e resposta é um dado que o ICO pode pedir, e um padrão de queixas ignoradas é o processo sancionatório mais fácil que um regulador alguma vez montará. O mesmo registo, lido trimestralmente, é também uma auditoria gratuita aos pontos onde o seu tratamento de dados irrita realmente os clientes. Poucas obrigações de conformidade rendem tanto.
Leia a seguir: Um primeiro pedido de dados pode ser abusivo · Dados Ilícitos Podem Vencer no Tribunal



