Brexit é uma abreviação para “British exit” (“saída britânica”, na tradução literal para o português) que expressa a decisão do Reino Unido de deixar a União Europeia. Esta saída foi consumada no dia 31 de janeiro de 2020, entrando em um período chamado de transição. Neste textos você vai conferir os impactos e o que pode acontecer com a GDPR no Brexit.
Com o Brexit, inúmeras são as dúvidas regulatórias. Assim, para o tema de Proteção de Dados, o ICO (Information Commissioner’s Office) elaborou um guia como forma de dirimir algumas dessas dúvidas.
Abaixo seguem perguntas e respostas frequentes elaboradas pelo ICO, e traduzidas pelo Time BL Consultoria Digital, sobre como fica a regulação de proteção de dados no Reino Unido após o Brexit. Você pode encontrar o texto original, sobre GDPR e Brexit aqui.
O que acontece agora que o Reino Unido tem um acordo de saída da UE?
Agora que o Reino Unido tem um Acordo de Saída da UE, haverá um período de transição até o final de 2020 para que haja tempo para negociar um novo relacionamento com a UE. Durante o período de transição, o GDPR continuará sendo aplicado no Reino Unido e você não precisará tomar nenhuma ação imediata. Assim, as empresas deverão continuar a seguir as orientações existentes sobre o GDPR.
O que acontece no final do período de transição?
Isso depende de negociações durante o período de transição. A posição padrão é a mesma de um Brexit sem acordo: o GDPR será trazido para a lei do Reino Unido como o ‘UK GDPR’, mas pode haver tempo para novos desenvolvimentos e questões específicas, como transferências entre o Reino Unido e a UE.
Precisamos de um representante europeu durante o período de transição?
Não, durante o período de transição, você não precisa nomear um representante no EEA. No entanto, pode ser necessário nomear um representante a partir do final do período de transição, se você estiver oferecendo bens ou serviços a indivíduos no EEA ou monitorando o comportamento de indivíduos no EEA. Para mais informações, leia o documento Data protection if there’s no Brexit deal – European Representatives.
O GDPR ainda será aplicado quando deixar a UE?
O GDPR é um regulamento da UE e, em princípio, não será mais aplicável ao Reino Unido a partir do final do período de transição. No entanto, se você operar dentro do Reino Unido, precisará cumprir a lei de proteção de dados do Reino Unido. O governo pretende incorporar o GDPR na lei de proteção de dados do Reino Unido a partir do final do período de transição – portanto, na prática, haverá pouca mudança nos princípios, direitos e obrigações essenciais de proteção de dados regulamentados no GDPR.
A versão do GDPR na UE também pode ser aplicada diretamente a você se você operar na Europa, oferecer bens ou serviços a indivíduos na Europa ou monitorar o comportamento de indivíduos na Europa.
O GDPR ainda se aplicará a todas as organizações na Europa que enviarem dados para você, portanto, pode ser necessário ajudá-los a decidir como transferir dados pessoais para o Reino Unido, de acordo com o GDPR.
A ICO não será o regulador de nenhuma atividade específica da Europa regulada pela versão da UE do GDPR, embora esperemos continuar trabalhando de perto com as autoridades europeias de supervisão.
Para obter mais informações sobre como isso afeta suas obrigações de proteção de dados e o que você precisa fazer, leia o documento Data Protection if there’s a no-deal Brexit.
Qual será a lei de proteção de dados do Reino Unido?
O ato intitulado Data Protection Act 2018 (DPA 2018), que atualmente complementa e adapta o GDPR no Reino Unido, continuará sendo aplicada. As disposições do GDPR serão incorporadas diretamente na lei do Reino Unido a partir do final do período de transição, para acompanhar o DPA 2018. Novos regulamentos de saída para proteção de dados foram aprovados, o que causará alterações técnicas ao GDPR para que ele funcione em um país do Reino Unido a partir do final do período de transição.
Qual o papel do ICO (Information Commissioner’s Office)?
O ICO permanecerá sendo o órgão de supervisão independente em relação à legislação de proteção de dados do Reino Unido. Durante o período de transição, o ICO envolverá o mecanismo de cooperação e consistência sob o GDPR e continuará sendo uma autoridade supervisora líder. O governo do Reino Unido continuará a trabalhar no sentido de manter estreitas relações de trabalho entre a ICO e as autoridades de supervisão da UE assim que o Reino Unido deixar a UE.
A orientação sobre o GDPR do ICO ainda é relevante?
Sim. Esperamos que a lei de proteção de dados do Reino Unido esteja alinhada com o GDPR, portanto, você deve continuar usando nossas orientações já existentes. Seguir a abordagem de nossas orientações o ajudará a cumprir agora e após o final do período de transição. Continuaremos mantendo nossa orientação sob revisão e atualizando-a sempre que necessário.
Ainda podemos transferir dados do Reino Unido para a União Europeia?
O governo disse que as transferências de dados do Reino Unido para o European Economic Area (EEA) não serão restritas. No entanto, a partir do final do período de transição, as regras de transferência do GDPR serão aplicadas a todos os dados provenientes do EEA para o Reino Unido. Você precisa considerar quais salvaguardas do GDPR podem ser implementadas para garantir que os dados continuem fluindo para o Reino Unido. Para obter mais informações, leia Data Protection if there’s a no-deal Brexit and our guidance on international transfers.. Também produzimos uma ferramenta interativa sobre o uso de cláusulas contratuais padrão para transferências para o Reino Unido para ajudá-lo. Acesse o link.
E o processo da aplicação da lei?
O regime de proteção de dados estabelecido na Parte 3 do DPA 2018 ainda se aplicará às autoridades competentes que processam para fins de aplicação da lei. Essas regras derivam de uma diretiva da UE, mas agora estão definidas na lei do Reino Unido e continuarão a ser aplicadas após o final do período de transição (com algumas pequenas alterações técnicas para refletir nosso status fora da UE). Esperamos que as transferências de dados do Reino Unido para a UE e Gibraltar possam continuar por enquanto com base em novos regulamentos de adequação do Reino Unido.
Para mais informações
Para obter mais informações sobre como as regras de transferências funcionam, leia a página de transferências internacionais international transfers page of our Guide to Law Enforcement processing. No final do período de transição, as transferências de dados da UE para o Reino Unido estarão sujeitas a requisitos de transferência local no país do remetente. Seus parceiros europeus podem solicitar que você cumpra salvaguardas adicionais. Sugerimos que você entre em contato com seus parceiros na UE para discutir o que eles querem fazer para garantir que os dados possam continuar sendo enviados para o Reino Unido. Para obter mais informações, leia os seguintes documentos: Law enforcement processing – five steps e também Data Protection if there’s no Brexit deal – law enforcement processing.
GDPR e Brexit: O PECR ainda se aplica?
Sim. As regras atuais do PECR cobrem marketing, cookies e comunicações eletrônicas. Derivam da lei da UE, mas são estabelecidas na lei do Reino Unido. Eles continuarão em vigor após a saída da UE. A UE está substituindo a atual lei de privacidade eletrônica por um novo Regulamento de privacidade eletrônica (ePR). O novo ePR ainda não foi acordado. Você pode encontrar mais informações sobre as regras atuais do PECR em nosso Guia do PECR, acessível no documento Guide to PECR.
O NIS ainda se aplica?
Sim. As regras do NIS cobrem sistemas de rede e informação. Derivam do lei da UE, mas são estabelecidas na lei do Reino Unido. Eles continuarão em vigor após a saída da UE. Você pode encontrar mais informações em nosso Guia para NIS, acessível no documento Guide to NIS. Se você é um provedor de serviços digitais com sede no Reino Unido que oferece serviços na UE, a partir do final do período de transição, pode ser necessário nomear um representante em um dos estados membros da UE em que você oferece serviços. Você precisará cumprir as regras locais do NIS nesse estado membro. Se você também oferece serviços no Reino Unido, também precisará continuar em conformidade com as regras do Reino Unido que dizem respeito a seus serviços no Reino Unido.
O eIDAS ainda se aplica?
GDPR e Brexit
O regulamento eIDAS abrange identificação eletrônica e serviços de confiança. É um regulamento da UE e não será mais aplicado no Reino Unido após o final do período de transição. No entanto, o governo pretende incorporar as regras do eIDAS nas leis do Reino Unido a partir dessa data. Na prática, se você é um provedor de serviços de confiança do Reino Unido, deve assumir que ainda precisará cumprir as regras do eIDAS.
Para mais informações
Para mais informações, consulte o nosso Guia do eIDAS, acessível no documento assume that you will still need to comply with eIDAS rules. For more information, see our Guide to eIDAS. Se você oferece serviços de confiança na UE, também pode ser necessário cumprir a lei eIDAS da UE em outros estados membros após o final do período de transição. O Reino Unido não regulamentará mais esse aspecto dos seus serviços. Mas pretendemos continuar trabalhando em estreita colaboração com as autoridades de supervisão da UE.
O FOIA ainda se aplica?
Sim. A Lei da Liberdade de Informação de 2000 faz parte da lei do Reino Unido e continuará a ser aplicada. Para mais informações, consulte o nosso Guia de liberdade de informação, acessível em Guide to freedom of information.
O EIR ainda se aplica?
Sim. O Regulamento de Informações Ambientais continuará a ser aplicado, a menos que especificamente revogado ou alterado. Derivam do direito da UE, mas são estabelecidas no direito do Reino Unido. O Reino Unido também se inscreveu de forma independente no tratado internacional subjacente sobre acesso à informação ambiental (a Convenção de Aarhus). Para mais informações, consulte o nosso Guia para o EIR, acessível em Guide to the EIR.
Serão produzidas mais orientações?
GDPR e Brexit
Os principais princípios, obrigações e direitos de proteção de dados permanecerão os mesmos. Portanto, nesta fase, não precisamos produzir uma gama de orientações totalmente novas. No entanto, algumas áreas específicas – principalmente em supervisão e fiscalização de fronteiras e transferências internacionais – são afetadas especificamente. Por isso, produzimos recentemente as seguintes orientações:
- Proteção de dados e Brexit sem acordo para pequenas empresas e organizações, acessível no documento Data protection and no-deal Brexit for small businesses and organisations
- Processamento da aplicação da lei – cinco etapas a serem seguidas, acessível no documento Law enforcement processing – five steps to take
- Proteção de dados se não houver acordo sobre o Brexit, acessível no documento Data Protection if there’s no Brexit deal
- Mantenha os dados fluindo do EEA para o Reino Unido – ferramenta interativa, acessível no documento Keep data flowing from the EEA to the UK – interactive tool
Também manteremos nosso Guia de Proteção de Dados – e, em particular, nossas orientações sobre transferências internacionais – sob revisão regular e o atualizaremos para refletir os últimos desenvolvimentos. Também atualizaremos regularmente essas perguntas frequentes para refletir as consultas que recebemos. Enquanto isso, considerando que esperamos que a lei de proteção de dados do Reino Unido permaneça alinhada com o GDPR, nosso Guia para proteção de dados, acessível em Guide to Data Protection, continua sendo uma boa fonte de aconselhamento e orientação sobre como cumprir as regras de proteção de dados do Reino Unido e da UE agora e após o período de transição .
O que aconteceu com as orientações “Deixando a UE – 6 etapas a seguir”?
Reorientamos nossas diretrizes de proteção de dados para um Brexit sem acordo, a fim de melhor atender às necessidades de pequenas organizações. Pegamos muitos dos pontos principais das orientações das ‘6 etapas’ e os incluímos em nossa nova orientação para pequenas organizações.
Para evitar qualquer confusão, removemos as orientações das ‘6 etapas’ do site da ICO. Para as organizações que já leram e tomaram medidas com base nas diretrizes das 6 etapas, não se preocupe – o conteúdo ainda está correto. No entanto, também recomendamos que você verifique regularmente nossa página de proteção de dados e Brexit para atualizações e novos recursos.