A Lei de Protecção de Dados 2017 é a legislação que irá substituir a Lei de Protecção de Dados de 1998. Ela foi concebida para equilibrar as necessidades de privacidade dos cidadãos do Reino Unido (UK) e da União Europeia (UE) com os interesses das empresas.
A Lei de Protecção de Dados foi anunciada no Discurso da Rainha em 21 de Junho de 2017. Tal como os Regulamentos Gerais de Protecção de Dados da UE (GDPR), o Projecto de Lei de Protecção de Dados do Reino Unido regula qualquer empresa que trate grandes quantidades de dados privados dos cidadãos. Muitas das disposições da DPA 2017 são como as da GDPR, incluindo a transparência e os requisitos para um responsável pela protecção de dados (DPO) para supervisionar a forma como os dados são tratados.
O projecto de lei também contém uma série de sanções fortes que abordam a má prática de governação de dados. Por exemplo, reconstruir a identidade de um indivíduo a partir de dados anonimizados é uma ofensa passível de cobrança. Multas até 4% do volume de negócios anual global de uma empresa, ou 20 milhões de euros, o que for mais alto, podem ser cobradas por má prática.
Devido à retirada do Reino Unido da União Europeia e subsequente mudança de direcção do GDPR para a Lei de Protecção de Dados de 2017, existe alguma confusão quanto às obrigações das empresas para com os sujeitos dos dados da UE, embora a legislação se destine a abordar questões de segurança de dados tanto para os cidadãos da UE como do Reino Unido. O próprio projecto de lei tem sido criticado por não ser claro e por se referir à GDPR para a definição de muitos termos que requerem mais referências cruzadas e confusão, incluindo uma série de modificações acordadas sobre a GDPR para que esta funcione em benefício do Reino Unido em áreas como a investigação académica, serviços financeiros e protecção de crianças.