A Estrutura de Reclamações DUAA Agora É Aplicável: Todo Controlador de Dados do Reino Unido Precisa de uma Porta de Entrada Interna

Um titular de dados dispara um e-mail às 23h dizendo que sua empresa usou os dados pessoais dele sem base legal adequada. No regime anterior, ele poderia levar essa reclamação diretamente ao Information Commissioner's Office na manhã seguinte. A partir de 19 de junho de 2026, ele não pode mais fazer isso. A Lei de Dados (Uso e Acesso) de 2025 — o Data (Use and Access) Act 2025 (DUAA) — agora exige que os indivíduos apresentem a reclamação primeiro à sua organização, e exige que você tenha um processo formal e documentado pronto para recebê-la.

O Que a Lei Realmente Mudou

O DUAA recebeu sanção real em 19 de junho de 2025, segundo a Mayer Brown. Ele altera, mas não substitui, o UK GDPR e o Data Protection Act 2018. A maioria das disposições de proteção de dados da Lei entrou em vigor em 5 de fevereiro de 2026, por meio das Regulamentações de Início n.º 6 e Disposições Transitórias e Salvatórias de 2026, conforme observado pela Clifford Chance e pelo blog Privacy Matters da DLA Piper. A obrigação de tratamento de reclamações foi reservada para uma data de início separada: 19 de junho de 2026, exatamente um ano após a sanção real.

O mecanismo central é um requisito obrigatório de engajamento prévio à reclamação. De acordo com a Mintz, antes que um indivíduo possa registrar uma reclamação junto ao ICO, ele deve primeiro levantar a questão diretamente com o controlador de dados relevante e aguardar um período razoável para que o controlador responda. O ICO indicou que esse período será tipicamente de 45 dias, embora a Mintz observe que pode variar dependendo da complexidade do assunto. O efeito prático é uma camada de triagem de primeira instância situada entre o indivíduo e o regulador, projetada, conforme explica a Mintz, para estimular a resolução antecipada e permitir que o ICO concentre seus recursos em questões mais graves.

Quem É Abrangido e O Que Deve Construir

O blog Privacy Matters da DLA Piper é preciso quanto ao escopo: o DUAA introduz um requisito de processo formal de reclamações para todos os controladores, sem exceções. Essa expressão importa na prática. Pequenas organizações sem fins lucrativos, startups com fundador único, empregadores de médio porte e plataformas globais estão todos na mesma categoria sob essa obrigação. A Squire Patton Boggs, escrevendo no Employment Law Worldview, enquadra isso como um novo direito estatutário para funcionários de reclamar aos controladores sobre infrações ao UK GDPR, o que significa que a própria relação de emprego pode gerar reclamações no escopo completamente independentes de qualquer processamento de dados voltado ao cliente.

O blog Data Matters da Sidley oferece um esclarecimento útil sobre o que efetivamente aciona o processo: nem toda comunicação de um titular de dados se qualifica como uma reclamação regulamentada. As organizações precisam distinguir consultas rotineiras e solicitações de acesso a dados de manifestações de insatisfação sobre como os dados pessoais foram tratados. Acertar essa distinção mantém o processo proporcional e evita tratar cada mensagem recebida como um evento formal de conformidade. A Sidley também observa que o requisito do DUAA é apoiado por orientações recentes do ICO sobre como se preparar para e lidar com reclamações de proteção de dados, o que fornece um ponto de referência prático para a construção de procedimentos internos.

No que diz respeito à documentação, a Mayer Brown aconselha que as organizações devem revisar suas práticas de proteção de dados, atualizar políticas e procedimentos, e tratar a conformidade com o DUAA como uma prioridade contínua ao longo de 2026. Os avisos de privacidade também precisam de atualização, pois a Squire Patton Boggs confirma que as organizações sujeitas ao UK GDPR devem refletir os novos direitos de tratamento de reclamações em seus avisos publicados a partir de 19 de junho de 2026.

Por Que Isso É Mais Crítico Durante um Incidente Cibernético

A camada de conformidade descrita acima opera em condições normais. Agora considere o que acontece quando uma organização sofre uma violação de dados. O prazo de notificação ao ICO já está correndo. Os indivíduos afetados começam a contatar a organização. Alguns desses contatos constituirão reclamações formais sob o framework do DUAA, não apenas consultas preocupadas. Sem um processo interno documentado de reclamações em vigor, a organização está simultaneamente gerenciando a resposta ao incidente, uma notificação regulatória e um volume indefinido de obrigações de reclamação para as quais não tem nenhum procedimento.

A Mayer Brown observa que o ICO sinalizou uma abordagem comedida para a aplicação durante esse período de transição, particularmente quando as orientações ainda não foram finalizadas. Vale ler com atenção: comedida não significa ausente. O mesmo documento deixa claro que a conformidade deve ser tratada como uma prioridade contínua, e não adiada até que chegue um aviso de aplicação. Para equipes ligadas à segurança, a implicação prática é que os manuais de resposta a incidentes agora precisam de um ramo de tratamento de reclamações: quem recebe reclamações formais de dados durante um incidente, qual é o prazo de confirmação e resposta, e como essas reclamações interagem com o processo de notificação ao ICO que ocorre em paralelo.

O Que as Organizações Devem Fazer Agora

A obrigação já está em vigor. A questão é se o seu processo interno está documentado, comunicado e testado. Com base nas orientações examinadas da Mayer Brown, Mintz, Sidley e Squire Patton Boggs, a lista de verificação prática é a seguinte.

Primeiro, estabeleça um canal definido para receber reclamações de proteção de dados, separado das filas gerais de atendimento ao cliente. Segundo, documente um procedimento de resposta que reconheça a janela indicativa de 45 dias definida pelo ICO e identifique quem dentro da organização é responsável por cada etapa. Terceiro, atualize os avisos de privacidade para refletir o novo direito de reclamação. Quarto, treine qualquer pessoa que lide com comunicações recebidas para reconhecer quando uma mensagem passa de uma consulta rotineira para o território de uma reclamação regulamentada. As orientações publicadas pelo ICO sobre o tratamento de reclamações de proteção de dados são a referência principal para calibrar esse processo.

As organizações que já possuem fluxos de trabalho maduros para solicitações de acesso a dados têm uma vantagem estrutural: a infraestrutura subjacente de mapeamento de dados e responsabilidade de resposta é transferível. Aquelas que não possuem devem tratar junho de 2026 não como um prazo já perdido, mas como o ponto em que construir o processo deixou de ser opcional. A postura comedida de aplicação do ICO cria uma curta janela de tolerância prática; ela não cria cobertura permanente.