Durante anos, as conversas sobre a regulamentação dos dados no Reino Unido centraram-se em grande medida no mesmo quadro. O GDPR reformulou a forma como as organizações recolhem e protegem os dados pessoais, a Lei de Proteção de Dados reforçou essas obrigações e os líderes de segurança criaram estruturas de governação para garantir a conformidade nas suas organizações.
Muitos CISOs passaram a última década a aperfeiçoar políticas, a formar funcionários e a implementar controlos concebidos para cumprir essas normas.
Mas a regulamentação nunca pára.
Lei de 2025 relativa à utilização e acesso aos dados (DUAA) representa um dos desenvolvimentos mais significativos no panorama da governação de dados do Reino Unido desde que o RGPD entrou em vigor. Embora a lei não substitua a regulamentação existente, introduz novas expectativas quanto à forma como as organizações acedem, partilham, governam e utilizam os dados em ambientes digitais cada vez mais complexos.
Para os CISO, isto é importante porque muitas das alterações se situam diretamente na intersecção da cibersegurança, da governação e do comportamento humano. A lei introduz expectativas em evolução relativamente à utilização da IA, ao acesso a dados internos, à supervisão regulamentar e à responsabilidade organizacional. Todas estas são áreas em que os líderes de segurança já têm uma responsabilidade significativa.
À medida que as organizações continuam a interpretar o que a legislação significa na prática durante 2026, uma coisa está a tornar-se cada vez mais clara. A conformidade dependerá tanto das pessoas, dos processos e da cultura como da tecnologia.
Porque é que a lei sobre a utilização e o acesso aos dados é importante agora?
Embora a lei tenha sido aprovada em 2025, muitas organizações só agora começam a compreender plenamente as suas implicações práticas.
A legislação visa modernizar a forma como os dados podem ser acedidos e utilizados na economia do Reino Unido. Em termos simples, incentiva as organizações a utilizarem melhor os dados, mantendo simultaneamente uma forte proteção dos indivíduos e das informações sensíveis.
Esse equilíbrio cria novos desafios para os CISOs.
As organizações estão a ser encorajadas a desbloquear o valor dos dados, a colaborar entre equipas e a explorar tecnologias emergentes como a inteligência artificial. Ao mesmo tempo, continuam a ser responsáveis pela proteção de informações sensíveis, assegurando controlos de acesso adequados e demonstrando a conformidade quando os reguladores fazem perguntas.
Os líderes de segurança estão, por isso, a navegar num ambiente mais complexo em que a capacitação e a proteção dos dados têm de existir lado a lado.
Conseguir o equilíbrio certo requer uma governação clara, processos internos sólidos e uma força de trabalho que compreenda as suas responsabilidades no tratamento dos dados organizacionais.
Maior ênfase na governação e responsabilização dos dados
Um dos temas mais importantes da lei é uma maior ênfase na governação de dados estruturados.
A maioria das organizações já tem políticas que abrangem a classificação dos dados, a gestão do acesso e a retenção. No entanto, o DUAA reforça a expetativa de que as organizações devem ter uma compreensão clara e auditável de como os dados fluem através da empresa.
Isto inclui questões como quem tem acesso a conjuntos de dados específicos, porque é que esse acesso é necessário e como é que a informação sensível é partilhada interna ou externamente.
Para os CISOs, esta mudança aumenta a importância da visibilidade e da supervisão. As equipas de segurança já não se concentram apenas nas ameaças externas. Precisam também de ter a certeza de que o acesso interno legítimo está a ser utilizado de forma adequada.
É aqui que o comportamento humano se torna crítico. Mesmo os controlos técnicos mais robustos não podem impedir totalmente a exposição acidental de dados ou a partilha inadequada se os funcionários não estiverem conscientes dos riscos ou não tiverem conhecimento das regras.
Por conseguinte, uma comunicação clara, uma formação regular e processos bem definidos tornam-se elementos essenciais de uma governação de dados eficaz.
Novas considerações sobre a IA e a utilização de dados
Outro aspeto em evolução da lei é a sua relevância para a IA e a tomada de decisões automatizada.
As organizações estão cada vez mais a experimentar ferramentas de IA que dependem de grandes volumes de dados. Desde ferramentas de produtividade interna a serviços orientados para o cliente, a IA está a tornar-se rapidamente parte das operações comerciais diárias.
O DUAA reforça a necessidade de as organizações compreenderem como os dados estão a ser utilizados nestes sistemas e se a utilização desses dados está em conformidade com os requisitos regulamentares e de governação.
Para os CISO, este facto introduz novos desafios de supervisão. Os líderes de segurança precisam de visibilidade sobre a forma como as tecnologias emergentes interagem com os dados organizacionais, especialmente quando essas ferramentas são adoptadas rapidamente ou sem uma governação central.
A IA pode trazer enormes benefícios, mas também levanta questões importantes em torno da transparência, das permissões de acesso e da utilização responsável dos dados. Garantir que os funcionários compreendem os riscos e os limites da utilização de dados torna-se uma parte importante da gestão desse risco.
Maior controlo e aplicação da regulamentação
Tal como acontece com muitas alterações regulamentares, o verdadeiro impacto da lei será provavelmente visível através da aplicação e da supervisão.
Espera-se que as entidades reguladoras dêem cada vez mais importância ao facto de as organizações poderem demonstrar que dispõem de governação, controlos e processos adequados. A documentação, os registos de formação e as políticas internas claras fazem parte dessa história.
Para os CISOs, isto reforça um desafio familiar. A conformidade não é apenas uma questão de ter as ferramentas ou políticas corretas no papel. Requer provas de que os funcionários compreendem essas políticas e as aplicam de forma consistente no seu trabalho diário.
Os programas de sensibilização para a segurança desempenham um papel importante para ajudar as organizações a demonstrar que a governação dos dados está integrada na cultura organizacional, em vez de existir apenas na documentação.
O elemento humano da conformidade dos dados
Muitos dos requisitos associados à Lei sobre a Utilização e o Acesso aos Dados (Data (Use and Access) Act) acabam por se referir às pessoas.
Os funcionários acedem a sistemas, partilham informações, colaboram entre departamentos e adoptam novas tecnologias. Estas acções diárias podem reforçar ou enfraquecer a capacidade de uma organização para gerir os dados de forma responsável.
É por isso que os CISO se concentram cada vez mais na criação de uma cultura em que os funcionários compreendam o valor dos dados e os riscos associados ao seu mau tratamento.
Quando os funcionários sabem como identificar informações sensíveis, compreendem os limites do acesso aos dados e se sentem confiantes para comunicar potenciais problemas, as organizações estão muito mais bem posicionadas para cumprir as expectativas regulamentares em constante evolução.
A criação dessa cultura exige mensagens coerentes, formação cativante e orientações práticas que tornem a proteção de dados parte integrante do processo quotidiano de tomada de decisões.
Como é que o MetaCompliance pode ajudar
Navegar na legislação em evolução, como a Lei de Utilização e Acesso aos Dados (Data (Use and Access) Act 2025), exige mais do que simplesmente atualizar as políticas. As organizações precisam de formas práticas de educar os funcionários, reforçar as expectativas e demonstrar a conformidade.
O MetaCompliance apoia as organizações, ajudando-as a criar programas de sensibilização estruturados e mensuráveis que integram as responsabilidades de proteção de dados no comportamento diário.
A nossa biblioteca educativa inclui cursos dedicados que abrangem as principais áreas que as organizações têm de compreender ao abrigo da lei, desde uma introdução à própria legislação até ao seu impacto no RGPD, comunicações de marketing, envolvimento regulamentar e tratamento de queixas. O conteúdo foi concebido para dar às equipas de liderança e aos funcionários uma compreensão clara e prática da forma como as alterações afectam as suas responsabilidades diárias.
Estes módulos ajudam as equipas de liderança e os funcionários a compreender como a legislação afecta as suas responsabilidades, desde a governação e o envolvimento regulamentar até aos processos práticos de tratamento de dados.
Para além da aprendizagem, o MetaCompliance fornece as ferramentas de que as organizações necessitam para gerir políticasacompanhar a compreensão dos empregados e manter registos claros que demonstrem a conformidade.
À medida que a regulamentação dos dados continua a evoluir, as organizações bem sucedidas serão aquelas que combinam uma governação forte, tecnologia eficaz e uma força de trabalho que compreende o seu papel na proteção dos dados.
Para os CISO, a criação dessa cultura está a tornar-se rapidamente uma das partes mais importantes da gestão do risco cibernético e regulamentar.
Para saberes mais, entra em contacto com a nossa equipa hoje.