In this article (3)
O Prazo da DUAA Que Pega Desenvolvedores de Surpresa: Não Se Trata da Sua Prática de Dados, Mas do Seu Processo
Key Takeaways
- Até 19 de junho de 2026, todo controlador de dados do Reino Unido deve ter um processo documentado de reclamações nos termos da seção 164A da DPA 2018, sem isenções por porte ou setor.
- O risco de execução é procedimental: a ausência do mecanismo de reclamações, e não uma violação de dados subjacente, é a infração direta sobre a qual o ICO pode agir.
- O guia de conformidade gratuito do ICO, publicado em fevereiro de 2026 e atualizado em maio de 2026, estabelece exatamente o que os controladores devem, deveriam e poderiam fazer para atender ao requisito.
Fine Print · Jun 17, 2026A Seção 164A da Lei de Proteção de Dados de 2018 cria uma obrigação processual rígida com prazo até 19 de junho de 2026, e não cumpri-la transforma uma reclamação rotineira em um gatilho direto de fiscalização.
A Seção 164A da Lei de Proteção de Dados de 2018 cria uma obrigação processual rígida até 19 de junho de 2026, e o não cumprimento dela transforma uma reclamação rotineira em um gatilho direto de fiscalização.
A maioria das organizações que lidam com dados de usuários no Reino Unido passou 2025 e o início de 2026 se preocupando com as coisas certas: bases legais, minimização de dados, mecanismos de transferência. O que várias delas não perceberam é que o Data (Use and Access) Act 2025 inseriu uma obrigação separada e de natureza procedimental na legislação do Reino Unido — uma obrigação que nada tem a ver com a qualidade das suas práticas de dados em si. O requisito é simples de enunciar e surpreendentemente fácil de ignorar: até 19 de junho de 2026, todo controlador de dados sujeito à legislação de proteção de dados do Reino Unido deve ter um processo documentado e operacional para receber e tratar reclamações de indivíduos sobre o uso de seus dados pessoais. Sem isenções. Sem período de carência para pequenas organizações. Sem exceções para plataformas que nunca receberam uma reclamação formal.
O que a lei realmente exige
A Seção 103 do Data (Use and Access) Act 2025 insere a nova seção 164A no Data Protection Act 2018, de acordo com a Hunton Andrews Kurth. Essa disposição exige que cada controlador implemente um mecanismo ou procedimento pelo qual os titulares de dados possam registrar reclamações relacionadas aos seus dados pessoais. O próprio DUAA recebeu a Sanção Real em 19 de junho de 2025, tornando a obrigação de reclamações exigível exatamente um ano depois, conforme confirmado pela Katten Muchin Rosenman no JDSupra. O ICO publicou orientações operacionais detalhadas em 12 de fevereiro de 2026, após uma consulta pública que recebeu mais de 85 respostas, segundo o próprio comunicado do ICO.
Essas orientações distinguem entre o que os controladores devem fazer obrigatoriamente (o piso legal), o que deveriam fazer (boas práticas) e o que poderiam fazer (uma abordagem mais robusta). O nível obrigatório é onde reside a sua exposição legal.
As orientações do ICO especificam as etapas operacionais essenciais: oferecer aos indivíduos uma forma clara de registrar uma reclamação, confirmar o recebimento em até 30 dias, tomar as medidas adequadas para responder sem atraso injustificado, manter o reclamante informado durante todo o processo e comunicar o resultado — de acordo com a análise da ZwillGen sobre as orientações do ICO. Essas etapas precisam estar documentadas e ser demonstráveis.
O ICO sinalizou uma abordagem cautelosa quanto à fiscalização durante o período de transição, especialmente nos casos em que suas próprias orientações ainda não estavam finalizadas, segundo a Mayer Brown. Mas cauteloso não é o mesmo que ausente, e as orientações sobre tratamento de reclamações estão disponíveis desde fevereiro de 2026.
Por que a lacuna no processo é o risco real
Aqui está o ponto contraintuitivo. Uma organização pode ter uma prática de dados genuinamente defensável — base legal documentada, cronograma de retenção em vigor, solicitações de acesso de titulares tratadas com agilidade — e ainda assim enfrentar exposição direta à fiscalização em 19 de junho de 2026 se não tiver um procedimento formal de reclamações. O requisito procedimental é autônomo.
Um titular de dados que acredita que seus dados foram tratados de forma inadequada — tenha razão ou não — agora tem o direito legal de registrar essa reclamação primeiro junto ao controlador, antes de escalar para o ICO. A intenção, conforme descrita pela Hunton, é garantir que as reclamações sejam analisadas pelo controlador antes de chegarem ao regulador. Se não houver um procedimento para receber essa reclamação, a organização terá descumprido uma obrigação legal específica, independentemente de como são suas práticas de dados subjacentes.
A ZwillGen enquadra isso com precisão: a mudança não exige um programa de privacidade totalmente novo, mas exige que as organizações garantam que as reclamações sejam reconhecidas, encaminhadas, confirmadas, investigadas e resolvidas de forma que possa ser demonstrada ao ICO se necessário. Essa última parte tem peso real. O ICO pode solicitar a apresentação do seu processo. Se você não conseguir produzi-lo, essa ausência é, em si, a violação.
Para plataformas educacionais e desenvolvedores de edtech especificamente — onde você quase certamente está processando dados pessoais de alunos, pais e funcionários sob o UK GDPR —, você é um controlador. A linguagem de ausência de isenções nas orientações do ICO, confirmada tanto pela Bratby Law quanto pelo Privacy Matters da DLA Piper, significa que o porte da plataforma, o setor ou o histórico de conformidade anterior não criam um porto seguro.
O que desenvolvedores e equipes de conformidade devem fazer agora
A implementação prática aqui não é complicada, embora exija esforço deliberado em vez de uma simples marcação de caixa. De acordo com a Mayer Brown, as organizações ainda têm uma janela para revisar práticas de proteção de dados, atualizar políticas e procedimentos, e se preparar para as obrigações de tratamento de reclamações.
Na prática, isso significa:
- designar quem recebe as reclamações (uma caixa de entrada identificada, um formulário ou um canal documentado)
- definir um fluxo interno de confirmação de recebimento que respeite a janela de 30 dias
- documentar as etapas de investigação
- criar um modelo para comunicar os resultados aos reclamantes
As orientações do ICO, publicadas em fevereiro e atualizadas em maio de 2026, detalham cada etapa e estão disponíveis publicamente sem custo.
Para organizações reguladas, a Bratby Law aponta uma camada adicional que merece auditoria: se você está sujeito às regras de reclamações do Ofcom ou da FCA, a obrigação do DUAA se sobrepõe a esses frameworks existentes, criando uma interação de conformidade que precisa ser mapeada. Essa é uma população mais restrita, mas empresas de edtech com produtos financeiros integrados ou serviços de comunicação regulados não devem presumir que o processo de reclamações do regulador setorial satisfaz automaticamente a seção 164A.
O Vice-Comissário do ICO para Política Regulatória observou em maio de 2026 que organizações menores têm menos probabilidade de ter procedimentos de tratamento de reclamações já estabelecidos, e especificamente as incentivou a ler as orientações e tomar as medidas simples necessárias para cumprir. Isso não é uma ameaça; é uma lista de leitura.
As orientações existem, o prazo é fixo e o requisito não tem isenções. Para qualquer pessoa que desenvolva produtos que lidam com dados de usuários do Reino Unido, a questão não é mais se isso se aplica. É se o seu processo consegue resistir a um regulador pedindo para vê-lo.