Na sequência da saída do Reino Unido da UE, muitas organizações têm-se interrogado sobre o impacto que o Brexit terá no GDPR e que medidas devem ser tomadas para cumprir as novas leis e regulamentos.
Quando a GDPR entrou em vigor em 25 de Maio de 2018, assinalou o maior abalo das leis de privacidade de dados em 20 anos. A legislação foi concebida para uniformizar as regras de protecção de dados em toda a União Europeia e reconhecer os direitos dos indivíduos no que diz respeito à utilização dos seus dados pessoais.
As organizações gastaram muito tempo e esforço nos últimos dois anos a melhorar os processos de protecção de dados e a implementar novas medidas para cumprir a legislação de referência.
Este compromisso com a protecção de dados não foi em vão, uma vez que muitas das medidas empreendidas continuarão a ser relevantes e não irão alterar a forma como as empresas sediadas no Reino Unido processam os dados dos indivíduos dentro deste país.
No entanto, agora que o Reino Unido deixou formalmente a UE, as organizações terão de avaliar as alterações a introduzir para assegurar o cumprimento da legislação relevante em matéria de protecção de dados.
Para responder a quaisquer perguntas que possa ter, elaborámos um breve guia que descreve o que as mudanças podem significar para o seu negócio.
Brexit & GDPR - Tudo o que precisa de saber
Será que o GDPR ainda será aplicável no Reino Unido?
A1 de Janeiro de 2021, o GDPR da UE deixou de se aplicar no Reino Unido, uma vez que se trata de um regulamento da UE. No entanto, se a sua empresa opera dentro do Reino Unido, terá ainda de cumprir a lei de protecção de dados do Reino Unido. O governo britânico incorporou o GDPR na legislação britânica como sendo o GDPR do Reino Unido.
Na prática, isto significa que muito pouco mudou. Foram feitas algumas alterações para reflectir o estatuto do Reino Unido fora da UE, mas essencialmente os princípios, direitos e obrigações fundamentais de protecção de dados do GDPR permanecem os mesmos e foram consagrados no GDPR do Reino Unido.
O GDPR ainda será aplicável se a sua empresa operar no Espaço Económico Europeu (EEE)?
Sim. Se a sua empresa opera na Europa, oferece bens ou serviços a indivíduos na Europa, ou controla o comportamento dos indivíduos na Europa, então o GDPR da UE continuará a aplicar-se. Se a sua organização tem actividades de processamento tanto na UE como no Reino Unido, terá de cumprir tanto o GDPR do Reino Unido como o GDPR da UE.
Como é que o Brexit afecta as transferências internacionais de dados?
Como parte do novo acordo comercial, a UE concordou em adiar as restrições de transferência por um período limitado de até quatro meses, que pode ser alargado para seis. Este mecanismo de transição permitirá que os dados pessoais circulem livremente do Espaço Económico Europeu (EEE) para o Reino Unido até que seja tomada uma decisão de adequação.
Desde que o Reino Unido deixou a UE está classificado como um "país terceiro" para a Europa sob o GDPR. Os países terceiros são estados que se encontram fora da zona do GDPR da UE. As transferências de dados da UE para países terceiros estão sujeitas a restrições, a menos que a Comissão Europeia conceda um estatuto denominado "adequação".
A Comissão Europeia atribui a adequação aos países se se considerar que estes têm um nível adequado de protecção de dados. Outros países aos quais a UE concedeu o estatuto de adequação incluem a Argentina, Nova Zelândia, Israel e Japão. Se for concedida ao Reino Unido a adequação, o livre fluxo de dados pessoais continuará sem quaisquer novas restrições.
Será a UE adequada para transferências de dados a partir do Reino Unido?
Sim. O governo do Reino Unido confirmou que reconhecerá transitoriamente a UE como adequada para permitir fluxos de dados do Reino Unido sem quaisquer mecanismos de transferência adicionais.
A sua empresa vai precisar de um representante europeu?
Se a sua empresa oferece bens ou serviços a indivíduos no EEE ou controla o comportamento de indivíduos no EEE, então poderá ter de nomear um representante da UE. Da mesma forma, se a sua empresa não estiver sediada no Reino Unido mas processar os dados pessoais dos cidadãos britânicos, poderá ter de nomear um representante do Reino Unido ao abrigo do GDPR do Reino Unido.
Qual será o papel do ICO?
O ICO continuará a ser o órgão de supervisão independente que rege a legislação de protecção de dados do Reino Unido. Contudo, deixará de ser uma autoridade de controlo da UE, pelo que, se processar os dados dos cidadãos da UE, necessitará de ter um representante da UE nomeado. O ICO afirmou claramente que se tratar de dados de cidadãos da UE, terá ainda de cumprir com o GDPR.
Quem irá notificar em caso de violação de dados?
Em caso de violação de dados, uma empresa sediada no Reino Unido contactaria o ICO. Após Brexit, a ICO apenas investigará incidentes relacionados com a protecção de dados envolvendo indivíduos do Reino Unido. Se a violação envolver múltiplas nacionalidades, o ICO lançará uma investigação e tratará com as autoridades de supervisão em cada um dos territórios afectados. Se estiverem envolvidas pessoas com dados da CEE, será necessário contactar directamente as autoridades de supervisão relevantes da UE.
Serão afectadas outras normas de protecção de dados?
DPA
A Lei de Protecção de Dados do Reino Unido de 2018(DPA 2018) continuará a ser aplicada, complementando o PIBR do Reino Unido.
PECR
O Regulamento de Privacidade e Comunicações Electrónicas de 2003 (PECR) prevê regras para a comercialização, cookies e comunicações electrónicas. É um regulamento específico do Reino Unido derivado de uma lei da UE conhecida como a directiva de privacidade e privacidade (existem planos em curso para substituir a directiva de privacidade e privacidade pelo regulamento de privacidade e privacidade). A PECR permanecerá, portanto, em vigor e não é afectada pela saída do Reino Unido da UE.
NEI
A Directiva sobre Segurança de Redes e Sistemas de Informação(NIS) também deriva da legislação da UE, mas está estabelecida na legislação do Reino Unido. Como tal, as regras actuais continuarão a ser aplicáveis. No entanto, se for um fornecedor de serviços digitais com sede no Reino Unido que oferece serviços na UE, poderá ter de nomear um representante num dos estados membros da UE nos quais presta serviços.
eIDAS
O regulamento sobre identificação electrónica, autenticação e serviços fiduciários é também uma lei da UE, mas já não se aplica no Reino Unido. No entanto, o governo do Reino Unido afirmou que irá incorporar as regras eIDAS na legislação britânica, pelo que se for um prestador de serviços fiduciários do Reino Unido, terá ainda de cumprir estas regras. Além disso, se prestar serviços na UE, terá também de aderir às regras do eIDAS nos estados membros da UE.
FOIA
O Freedom of Information Act 2000 faz parte da lei britânica e continuará a ser aplicado.
EIR
Os Regulamentos de Informação Ambiental estão estabelecidos na legislação britânica, pelo que continuarão a ser aplicáveis, a menos que sejam revogados ou alterados.
Que medidas devem as empresas tomar após a Brexit?
As organizações terão de efectuar uma análise detalhada da privacidade dos dados para avaliar se é necessário fazer quaisquer alterações. Se o seu negócio estiver sediado no Reino Unido e oferecer bens e serviços predominantemente a clientes do Reino Unido, então necessitará de fazer muito pouco. No entanto, se fornecer bens e serviços tanto à UE como ao Reino Unido, então poderá ser necessário efectuar alterações. Para assegurar o cumprimento da legislação relevante sobre protecção de dados, a sua organização deverá:
- Fluxos de dados cartográficos para assegurar que a sua empresa possa cumprir tanto o PIBR do Reino Unido como o PIBR da UE.
- Actualização dos registos de processamento para cumprir os requisitos do PIBR da UE e do PIBR do Reino Unido.
- Avaliar se existe uma autoridade de supervisão da UE que se qualifique agora como autoridade de supervisão principal (LSA).
- Actualizar os planos de resposta a violações de segurança para permitir uma possível notificação ao ICO e ao LSA da UE no caso de uma violação.
- Considere se a sua empresa necessita de nomear um representante do Reino Unido e/ou da UE.
- Actualizar os avisos de privacidade para garantir que eles detalham os fluxos de dados e cobrem os requisitos relevantes de ambas as legislações.
- Alterar os contratos e modelos existentes para incluir a referência apropriada tanto ao PIBR do Reino Unido como ao PIBR da UE.
- Considerar se as avaliações de impacto da protecção de dados e as avaliações de interesse legítimo terão de ser actualizadas para cumprir o PIBR do Reino Unido.
- Assegurar a existência de salvaguardas apropriadas para os fluxos de dados transfronteiriços.
- Avaliar se é necessário nomear um responsável separado para a protecção de dados do Reino Unido e da UE.
