Esta última parte do blogue em duas partes sobre o Brexit e o RGPD analisa a conformidade e a responsabilidade, o que o Brexit significa para as empresas no Reino Unido e em que ponto estamos agora com o RGPD.

Lê a primeira parte aqui.  

RGPD – Cumprir e responsabilizar-se

A conformidade com o RGPD exige a identificação definitiva de todos os dados pessoais detidos, confiança na declaração de como e porquê esses dados estão a ser recolhidos e a capacidade de declarar com precisão onde os dados recolhidos estão a ser armazenados. Para que uma organização responsável pelo tratamento de dados atinja a conformidade com o RGPD, é necessário, em primeiro lugar, efetuar uma avaliação da sua situação atual para identificar as lacunas de conformidade. Através da definição de prioridades para as medidas de correção, uma organização pode então traçar um caminho para a conformidade com o RGPD.

Os responsáveis pelo tratamento de dados também devem ter em conta que são os últimos responsáveis por garantir a conformidade e, por conseguinte, podem ser responsabilizados pelas actividades de tratamento de quaisquer subcontratantes de dados (por exemplo, fornecedores de serviços em nuvem) que contratem. Este facto exige uma análise cuidadosa ao estabelecer ou rever contratos que se prolonguem para além de 25 de maio de 2018.

Um tema recorrente do RGPD é a responsabilidade. As organizações têm de ser capazes de provar, tanto aos titulares dos dados como às entidades reguladoras, que tomaram o caminho certo, muitas vezes anos após a decisão inicial ter sido tomada. Os Responsáveis pela Proteção de Dados (RPD) são obrigatórios para algumas categorias de organizações, como as autoridades públicas e as envolvidas no tratamento de alto risco. O DPO deve ter “conhecimento especializado” da lei de proteção de dados e é seu dever informar e aconselhar sobre a conformidade. O GDPR também estabelece a necessidade de uma abordagem de proteção de dados desde a conceção e por defeito para o processamento de dados pessoais. Isto exige que as organizações adoptem uma mentalidade proactiva em vez de reactiva e preventiva em vez de corretiva. A utilização de Avaliações de Impacto na Privacidade (PIA) é recomendada e, em alguns casos, obrigatória, para ajudar neste sentido.

Entra o Brexit, sai o grande capital?

Estamos numa época em que os dados atravessam naturalmente as fronteiras. Deverá o Reino Unido  não for considerado como tendo um nível de proteção adequado, então, legalmente, quaisquer transferências para o Reino Unido teriam de ser feitas através de cláusulas modelo da UE, uma tarefa muito pesada do ponto de vista administrativo.

As cláusulas-tipo são utilizadas para permitir a transferência de dados para países não pertencentes à UE e são reguladas pelas autoridades de controlo. Podem também ser necessárias Regras Vinculativas para as Empresas (BCR). Estas são basicamente o mesmo instrumento que as cláusulas-modelo, mas são estabelecidas pela própria empresa para as transferências intra-empresas. Esta situação implicará despesas adicionais e poderá levar algumas empresas a deslocar uma parte das suas actividades para a UE, pelo menos até as coisas ficarem mais claras. Outras empresas do Reino Unido criarão provavelmente empresas-sombra na UE para delimitar os dados por uma questão de simplicidade, uma solução complicada e dispendiosa concebida para facilitar o tratamento dos dados. As empresas de fora da UE poderão simplesmente evitar estabelecer-se no Reino Unido.

RGPD – Em que ponto estamos agora?

A Secretária de Estado Karen Bradley MP confirmou na reunião do Comité de Cultura, Media e Desporto em24 de outubro de 2016: “Seremos membros da UE em 2018 e, por conseguinte, seria de esperar e bastante normal que optássemos pelo RGPD e, mais tarde, analisássemos a melhor forma de ajudar as empresas britânicas na proteção de dados, mantendo simultaneamente elevados níveis de proteção para os membros do público”. 

Durante vários anos, foram, de facto, o ICO e o Governo do Reino Unido que insistiram na reforma da legislação da UE, tendo em vista uma evolução contínua da economia digital do Reino Unido. A Comissária da Informação, Elizabeth Denham, comentou

“O crescimento da economia digital exige a confiança do público na proteção (dos dados pessoais)… O ICO está empenhado em ajudar as empresas e os organismos públicos a prepararem-se para cumprir os requisitos do RGPD antes de maio de 2018 e mais além.”

A Sra. Denham também reconhece que continuarão a ser colocadas questões sobre a forma como o RGPD funcionará se o Reino Unido sair da UE, mas isso não deve desviar a atenção da tarefa de cumprir o RGPD até maio de 2018.

Para garantir que o teu pessoal está plenamente consciente do RGPD e da forma como se aplica à tua organização, contacta-nos para mais informações ou pede uma demonstração do nosso curso de eLearning sobre o RGPD.