Esta é a primeira parte de um blogue em duas partes sobre GDPR e Brexit. Esta primeira peça centra-se no que é exactamente a GDPR, como irá afectar Brexit e o que podemos esperar como parte do novo regulamento.
Leia a segunda prestação aqui.
GDPR - O que é?
De alguma forma ou forma, a aplicação do Regulamento Geral da UE sobre Protecção de Dados (GDPR) em 25 de Maio de 2018, será aplicável no Reino Unido, independentemente do que acontecer com o Artigo 50 entre agora e então. A mudança para um ambiente regulador único da UE é a maior mudança na protecção de dados em 20 anos. Foi concebida para unificar e reforçar a protecção de dados para o indivíduo e visa simplificar o cumprimento para as empresas que operam em toda a Europa.
GDPR - (Br)Exit in Style?
As negociações de saída da União Europeia podem demorar anos e durante este tempo o Reino Unido continuará a estar sujeito às leis de protecção de dados da UE. Independentemente do Brexit, a aplicação da GDPR caberá a qualquer empresa britânica que ofereça quaisquer bens ou serviços aos cidadãos da UE ou que monitorize o comportamento de qualquer cidadão da UE. Se o Reino Unido abandonar a UE mas continuar a participar como membro do Espaço Económico Europeu (EEE), continuará a usufruir do comércio livre com a UE na condição de se submeter às leis da UE (incluindo a GDPR). Uma abordagem de saída que alcance a independência total do Reino Unido invocará regras de protecção de dados de "países terceiros" que poderiam restringir as exportações de dados do Reino Unido. A Comissão da UE teria então de formar uma opinião sobre se um Reino Unido pós-Brexit representa um fornecedor adequado de protecção de dados, em referência aos dados que são exportados de um país do EEE. Para conseguir este selo de aprovação da Comissão, o Reino Unido terá quase de certeza de reforçar as suas leis de protecção de dados, assegurando que são materialmente semelhantes ao GDPR, permitindo-lhe manter o fluxo necessário de dados pessoais entre o Reino Unido e a UE.
GDPR - O que há de novo?
O Hamlet de Shakespeare é estimado em cerca de 20.000 palavras e, de facto, o Jornal Oficial da União Europeia é um documento extenso com 88 páginas e não deve surpreender ninguém que as mudanças envolvidas sejam significativas e abranjam uma série de áreas. O âmbito territorial, tal como definido pelo GDPR, irá captar muito mais organizações não comunitárias, com o Artigo 27 a impor a designação de um representante dentro da UE para as organizações não comunitárias no âmbito. Uma definição mais ampla de dados pessoais incluídos em "categorias especiais", tal como consta do artigo 9º, inclui o tratamento de dados genéticos e biométricos, exigindo um regime de protecção mais estrito para tais dados.
A GDPR também introduz controlos mais rigorosos para o processamento de dados que reflectem a origem racial ou étnica de um indivíduo, opiniões ou crenças políticas ou religiosas ou filosóficas, e dados relativos à sua saúde ou vida sexual. Ao contrário da actual Directiva de Protecção de Dados, a GDPR exige a obtenção de consentimento separado para actividades de tratamento de dados não relacionadas com o motivo da sua recolha original e a pessoa em causa terá o direito de retirar esse consentimento em qualquer altura. Em termos de multas que podem ser administradas, a GDPR junta-se às leis anti-trust e anti-suborno ao ter algumas das mais elevadas sanções por incumprimento. As infracções relacionadas com os direitos dos titulares dos dados, violações do processamento do consentimento e restrições de transferência internacional imporão as maiores multas, até 20.000.000 euros ou até 4% do volume total de negócios mundial do ano anterior, o que for mais elevado.
Para assegurar que o seu pessoal está plenamente consciente da GDPR e de como esta se aplicará à sua organização, contacte-nos para mais informações ou solicite uma demonstração do nosso curso de eLearning sobre GDPR.