Esta última parte do blogue de duas partes sobre Brexit e GDPR analisará o cumprimento e a responsabilidade, o que Brexit significa para as empresas no Reino Unido e onde estamos agora com a GDPR.
Leia a primeira parcela aqui.
GDPR - Cumprir e prestar contas
O cumprimento da GDPR exige a identificação definitiva de todos os dados pessoais detidos, a confiança em declarar como e porquê esses dados estão a ser recolhidos, e a capacidade de declarar com precisão onde os dados recolhidos estão a ser armazenados. Para que uma organização de controlo de dados atinja a conformidade com a GDPR, é necessário, antes de mais, que efectue uma avaliação da sua situação actual para identificar lacunas de conformidade. Através da definição de prioridades das medidas de reparação, uma organização pode então forjar um caminho para a conformidade com a GDPR.
Os responsáveis pelo tratamento de dados devem também estar cientes de que são, em última análise, responsáveis por assegurar o cumprimento e, por conseguinte, podem ser responsabilizados pelas actividades de processamento de quaisquer processadores de dados (por exemplo, fornecedores de serviços de nuvem) que contratam. Isto requer uma cuidadosa consideração ao estabelecer ou rever contratos que se estendam para além do dia 25 de Maio de 2018.
Um tema recorrente da GDPR é a responsabilização. As organizações têm de ser capazes de provar tanto às pessoas em causa como aos reguladores que o caminho certo foi tomado, muitas vezes anos após a decisão inicial ter sido tomada. Os responsáveis pela protecção de dados (RPD) são mandatados para algumas categorias de organizações, tais como as autoridades públicas e as que estão envolvidas no processamento de alto risco. Os RPD devem possuir "conhecimentos especializados" sobre a lei de protecção de dados e é seu dever informar e aconselhar sobre o seu cumprimento. O GDPR também declara a necessidade de uma abordagem de protecção de dados por concepção e por defeito para o seu tratamento de dados pessoais. Isto exige que as organizações adoptem uma mentalidade baseada na proactividade em vez de reactiva e preventiva em vez de correctiva. A utilização de Avaliações de Impacto na Privacidade (AAI) é recomendada, e em alguns casos mandatada, para ajudar a este respeito.
Brexit in, Big Business out?
Esta é uma era em que os dados atravessam naturalmente as fronteiras. Se o Reino Unido não fosse considerado como tendo um nível de protecção adequado, então, legalmente, quaisquer transferências para o Reino Unido teriam de ser feitas através de cláusulas-modelo da UE, uma tarefa muito pesada do ponto de vista administrativo.
As cláusulas modelo são utilizadas para permitir a transferência de dados para países fora da UE e são regulamentadas pelas Autoridades de Supervisão. As Regras Corporativas Vinculativas (BCR) também podem ser necessárias. Estas são basicamente o mesmo instrumento que as cláusulas modelo, mas são criadas pela própria empresa para transferências intra-empresa. Isto irá acrescentar despesas e pode levar algumas empresas a transferir uma parte das suas operações para a UE, pelo menos até que as coisas se tornem mais claras. Outras empresas britânicas irão provavelmente criar empresas-sombra da UE para demarcar dados por uma questão de simplicidade, uma solução complicada e dispendiosa concebida para tornar o tratamento de dados mais fácil. As empresas de fora da UE podem simplesmente evitar a sua instalação no Reino Unido.
GDPR - Onde estamos agora?
A Secretária de Estado Karen Bradley MP confirmou na reunião do Comité de Selecção de Cultura, Media e Desporto a 24 de Outubro de 2016: "Seremos membros da UE em 2018 e, portanto, seria de esperar e bastante normal que optássemos pelo GDPR e que, mais tarde, analisássemos a melhor forma de podermos ajudar as empresas britânicas na protecção de dados, mantendo simultaneamente elevados níveis de protecção para os membros do público".
Durante vários anos foi de facto a OIC e o governo do Reino Unido que impulsionaram a reforma da legislação da UE na aspiração de uma evolução contínua da economia digital do Reino Unido. A Comissária da Informação Elizabeth Denham comentou:
"O crescimento da economia digital requer confiança pública na protecção de (dados pessoais) ... O ICO está empenhado em ajudar as empresas e os organismos públicos a prepararem-se para cumprir os requisitos do GDPR antes de Maio de 2018 e para além desta data".
A Sra. Denham também reconhece que ainda serão feitas perguntas sobre como funcionaria a GDPR no Reino Unido ao deixar a UE, mas isto não deve distrair-se da tarefa de cumprimento da GDPR até Maio de 2018.
Para assegurar que o seu pessoal está plenamente consciente da GDPR e de como esta se aplicará à sua organização, contacte-nos para mais informações ou solicite uma demonstração do nosso curso de eLearning sobre GDPR.
