As transferências de dados entre Reino Unido e UE ainda parecem alinhadas, mas o trabalho agora se divide

Toda equipe de privacidade tem uma pasta com um nome parecido com transferências internacionais, e dentro dela vive a planilha que todo mundo finge ser neutra em relação à jurisdição. Em 2026, esse arquivo está virando uma pequena armadilha. A Kennedys Law LLP explicou a questão operacional de forma clara em seu artigo sobre a aplicação de regras, ferramentas e avaliações de risco divergentes para transferências entre Reino Unido e UE. Para fornecedores de nuvem, produtos de IA e provedores de SaaS, o problema é menos uma grande teoria e mais controle de versão. A lição prática não é que o GDPR do Reino Unido e o GDPR da UE tenham virado estranhos. É que a semelhança no papel pode esconder trabalhos diferentes dentro do arquivo. Uma equipe de vendas pode ver um contrato de cliente, um fluxo de suporte e um pipeline de analytics. A privacidade precisa ver o roteamento, o regime jurídico, o mecanismo de transferência e a trilha de evidências.

A pergunta sobre transferência agora começa pelo roteamento

O ICO diz que seu breve guia sobre transferências internacionais, publicado em 15 de janeiro de 2026, fornece checklists para ajudar organizações a identificar e realizar uma transferência restrita. Esse é o ponto de partida correto, porque muitas falhas de conformidade começam antes mesmo de alguém procurar uma biblioteca de cláusulas. A primeira pergunta operacional é se a movimentação de dados pessoais é uma transferência restrita sob o regime aplicável. Se a resposta for sim, a equipe precisa saber qual regime está fazendo a pergunta.

Na prática, isso significa que o mapa de dados precisa ser mais útil do que um diagrama para auditores. Ele deve conectar o contrato, a funcionalidade do produto, o operador ou suboperador e o local do tratamento relevante. O guia do ICO é apresentado como uma introdução, não como substituto das orientações detalhadas, então tratar um checklist como o arquivo completo de conformidade seria otimista. Otimismo não é um mecanismo de transferência.

O arquivo do Reino Unido tem um novo nome para o teste

O ICO diz que sua orientação detalhada sobre como concluir uma avaliação de risco de transferência foi atualizada pela última vez em 15 de janeiro de 2026. Ele também diz que o conteúdo de seu Guia anterior sobre transferências internacionais foi dividido em guias detalhados específicos, incluindo um sobre avaliações de risco de transferência. O mais importante para os modelos é que o ICO diz que a orientação foi atualizada para refletir a linguagem trazida pela Data (Use and Access) Act, e que uma avaliação de risco de transferência agora é chamada na legislação do Reino Unido de "teste de proteção de dados".

Isso não significa que toda avaliação histórica entre em combustão espontânea. Significa que os arquivos do Reino Unido devem mostrar que a organização aplicou o teste do Reino Unido, usando a terminologia e as evidências atuais. O ICO diz que a orientação é voltada para Encarregados de Proteção de Dados e pessoas com responsabilidades específicas de proteção de dados, o que, em linguagem de regulador, significa: não deixe isso inteiramente com compras. Um questionário de fornecedor pode coletar fatos, mas a conclusão jurídica precisa ter um responsável.

Onde o hábito de copiar e colar da UE falha

A Freshfields diz que o regime do GDPR do Reino Unido restringe transferências de dados pessoais para fora do Reino Unido, e que o ICO publicou atualizações há muito aguardadas de sua orientação em janeiro de 2026. A Freshfields também diz que essas atualizações são cruciais para organizações que tratam dados pessoais sujeitos ao GDPR do Reino Unido, e que sua análise da Parte 2 se concentra em transferências restritas lícitas e em áreas-chave de divergência em relação à abordagem equivalente da UE.

Isso basta para aposentar a pergunta preguiçosa: estamos em conformidade com o GDPR? A pergunta melhor é: em conformidade com qual regime de transferência, para qual fluxo de dados? Para quem constrói produtos, a mudança útil é procedimental. Mantenha conclusões separadas para Reino Unido e UE quando o mesmo fluxo de trabalho do produto tocar os dois regimes. Atualize formulários de entrada para que capturem o regime aplicável, o mecanismo de transferência usado, o responsável pela avaliação e a data das evidências revisadas. Se um fornecedor disser que recebe bem a orientação atualizada, traduza isso assim: peça a linguagem real de transferência, não o resumo do blog.

O lado da UE também não está parado

A LexisNexis UK inclui uma nota da MLex dizendo que a Microsoft obteve aprovação para apoiar a defesa da Comissão Europeia de um pacto de transferência transatlântica de dados perante o principal tribunal da UE. A nota diz que a Microsoft havia argumentado que uma decisão interrompendo essas transferências alteraria sua posição jurídica. Isso é um lembrete de que as suposições sobre transferências da UE podem mudar por meio de litígios, além de orientações de reguladores.

Construtores presos entre jurisdições devem criar registros de conformidade que possam ser revisados sem reconstruir o fluxo de trabalho do produto. A postura sensata para 2026 é entediante, que geralmente é onde o trabalho de privacidade deve estar. Mapeie os dados, identifique a transferência restrita, separe a análise do Reino Unido e da UE quando ambas se aplicarem, e mantenha evidências suficientes para que outra pessoa consiga entender a decisão seis meses depois. Acompanhe novas orientações do ICO e litígios sobre transferências na UE, mas não espere por simetria perfeita. Ela não chegará a tempo da sua próxima revisão de fornecedor.