Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

GDPR & Brexit – O que isso significa para as empresas e o impacto na proteção de dados

Atualizações

Após uma consulta pública, o Reino Unido divulgou detalhes da sua proposta de lei de reforma de dados, que alterará a estrutura de privacidade na versão britânica pós-Brexit do GDPR. Leia sobre este projeto de lei aqui.

A Comissão permitiu o fluxo de dados da UE para o Reino Unido, mas estará sujeito a uma revisão dentro de quatro anos.

Depois que o Conselho Europeu de Proteção de Dados (EDPB) adotou um Parecer sobre o Projeto de Decisões de Adequação do Reino Unido da Comissão e os representantes dos Estados-Membros deram a sua aprovação, ambas as Decisões entraram em vigor em 28 de junho de 2021.

A decisão sob o Regulamento Geral de Proteção de Dados (GDPR) e a decisão sob a Diretiva de Aplicação da Lei permitem transferências da UE para o Reino Unido, pois o Reino Unido atualmente oferece um nível essencialmente equivalente de proteção de dados pessoais garantido pela legislação da UE.

No entanto, excepcionalmente, ambas as decisões também estavam sujeitas a uma cláusula de caducidade, o que significa que terão de ser renovadas em quatro anos.

Por exemplo, o EDPB sublinhou algumas possíveis divergências a serem avaliadas antes das decisões finais serem tomadas:

  • A Isenção de Imigração e as suas consequências nas restrições aos direitos dos titulares de dados;
  • A aplicação de restrições às transferências de dados pessoais do Espaço Econômico Europeu para o Reino Unido, com base em possíveis decisões de adequação futuras adotadas pelo Reino Unido, acordos internacionais entre o Reino Unido e países terceiros, ou anulações.

=> Próximos passos: monitorar eventuais divergências futuras entre a legislação da UE e do Reino Unido, o que pode se tornar um desafio para as próximas decisões, com vencimento em quatro anos.

Leia o texto completo aqui

O Regulamento Geral de Proteção de Dados (GDPR) tornou-se aplicável em maio de 2018 – reforçando os direitos de proteção de dados para todas as pessoas cujas informações pessoais se enquadram no seu âmbito de aplicação e colocando novos requisitos às empresas e entidades que lidam com esses dados pessoais. Leia mais sobre o GDPR e quando se aplica aqui.

Com todas as mudanças programadas para ocorrer como resultado da saída do Reino Unido da UE, você pode estar se perguntando como exatamente a conformidade com o GDPR muda para as empresas do Reino Unido e da UE após o Brexit? Respondemos a esta e outras perguntas abaixo.

GDPR após o Brexit, alguma coisa muda?

O GDPR, que costumava ser uma lei obrigatória no Reino Unido até o Brexit entrar em vigor em 31 de dezembro de 2020, agora é, em grande parte, ainda aplicável no Reino Unido como “UK GDPR”, desde que não haja nova lei nacional de proteção de dados ou a legislação é aprovada.

Como uma empresa sediada no Reino Unido o que devo saber?

Transferências de dados para a UE e para outros territórios
Sob o atual GDPR do Reino Unido, as transferências de dados do Reino Unido para outros países seguem os mesmos princípios do GDPR. Em particular:

  • se o governo do Reino Unido emitiu um regulamento de adequação para o seu território de destino, você pode transferir dados sem requisitos adicionais. Atualmente, esse status se aplica a todos os estados da UE e do Espaço Econômico Europeu e a todos os países abrangidos por uma decisão de adequação da UE (por exemplo, Argentina, Suíça, Nova Zelândia etc.), sujeito às condições Japão e Canadá;
  • se nenhum dos itens acima se aplicar, como empresas sediadas no Reino Unido que desejam transferir dados pessoais para o exterior, você terá que confiar nas mesmas alternativas fornecidas sob o GDPR, como cláusulas contratuais padrão (SCCs), outras “garantias adequadas” ou “exceções”. Nesse sentido, a autoridade de proteção de dados do Reino Unido (ICO) declarou que a UE SCCs celebrados antes do final do período de transição continuam a ser válidos sob o regime do Reino Unido, e que os CCEs da UE ainda podem ser usados também para novas transferências de dados pessoais. “As versões do Reino Unido” dos SCCs da UE foram publicadas pela ICO e podem ser usadas por empresas.

💡 Usar a iubenda como um processador que transfere dados para a UE ainda é perfeitamente seguro para os usuários do Reino Unido.

Representante de proteção de dados
O GDPR (art. 27) exige que as entidades que processam dados pessoais de pessoas físicas na UE designem um representante na UE. Durante o período de transição, este requisito ainda não se aplica às entidades do Reino Unido.

No entanto, após o término do período de transição, as empresas do Reino Unido que processam dados de pessoas físicas na UE provavelmente terão que nomear um representante da UE.

Como o Brexit me afeta como uma empresa sediada na UE/EEE?

Transferências de dados para o Reino Unido

O acordo do Brexit firmado entre a UE e o Reino Unido em dezembro de 2020 inclui um período de transição de 4 meses com vencimento em 30 de abril de 2021, que pode ser prorrogado por mais 2 meses: durante esse período, o Reino Unido não será considerado um “país terceiro”.

→ Até lá, nada muda para as empresas da UE/EEE que transferem dados para o Reino Unido.

Quando o período de transição expirar (ou seja, após 30 de abril de 2021), as transferências de dados para o Reino Unido devem ocorrer conforme os princípios gerais do GDPR, ou seja:

  • caso a Comissão Europeia emita uma decisão de adequação para o Reino Unido, as transferências de dados podem ocorrer sem requisitos adicionais;
  • caso não decisão de adequação seja emitida antes do final do período de transição estendido, as transferências de dados pessoais dos estados da UE/EEE para o Reino Unido terão que depender de garantias adequadas, como cláusulas contratuais padrão, aprovadas pela Comissão Europeia (SCCs), ou outras “garantias adequadas” ou “exceções” para transferência estabelecida no GDPR.

Representante de proteção de dados

A partir de agora, o UK-GDPR exige que as entidades que processam os dados pessoais de pessoas físicas no Reino Unido nomeiem um representante no Reino Unido. Neste momento, durante o período de transição, este requisito ainda não se aplica às entidades da UE/EEE.

No entanto, após o término do período de transição, as empresas da UE/EEE que processam dados de pessoas físicas no Reino Unido provavelmente terão que nomear um representante no Reino Unido.

Leitura complementar

Saiba mais sobre todas as outras pequenas e grandes mudanças que você enfrentará como uma empresa sediada no Reino Unido assim que o período de transição expirar no site da ICO.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com

Veja também

Ainda tem perguntas/dúvidas?

Participe de um de nossos webinars gratuitos Mande-nos um e-mail Chat ao vivo