Os dados pessoais protegidos pela GDPR no Reino Unido após o Brexit

Desde 1 de janeiro de 2021, o Reino Unido deixou de aplicar o Regulamento Geral de Proteção de Dados (GDPR). Explicamos abaixo o novo panorama da proteção de dados pessoais após o Brexit.

Começamos o ano com a saída do Reino Unido da União Europeia e no que diz respeito à proteção de dados pessoais, o Brexit significou o fim da aplicação do Regulamento Geral de Proteção de Dados (GDPR) no Reino Unido.

A partir de agora e até termos um acordo entre o Reino Unido e o Espaço Econômico Europeu (mencionado adiante como EEE), o processamento de dados realizado por empresas britânicas não estará sujeito à GDPR (a menos que estejam baseadas na EEA, ou processem dados de europeus).

Em outras palavras, como usuário, o Brexit não afetará os casos em que confiamos dados pessoais a empresas britânicas, pois estas empresas terão que cumprir com o GDPR de qualquer forma.

Outro ponto a ser observado é que a autoridade de controle do Reino Unido, Information Comiddioner’s Officer (ICO), em uma nota emitida no final de dezembro de 2020, aconselhou as empresas britânicas a continuarem a cumprir os Regulamentos Gerais de Proteção de Dados e seus regulamentos locais de proteção de dados.

Por outro lado, as empresas podem ser afetadas por:

Consequências:

TRANSFERÊNCIAS INTERNACIONAIS

Assim, na falta de uma decisão de adequação entre o Reino Unido e o EEE (Artigo 45 da GDPR), por regra geral, qualquer troca de dados pessoais entre entidades do EEE e do Reino Unido configurarão uma transferência de dados pessoais a um terceiro país, e por tanto, requererá garantias adequadas (Artigo 46 GDPR); ou seja, dados pessoais poderão ser transmitidos a um terceiro país (neste caso, o Reino Unido) ou organização internacional (britânica), se esta oferecer garantias adequadas e a condição de que as partes interessadas tenham direitos executórios e recursos legais eficazes.

De acordo com o artigo 49 do Regulamento, outra opção válida para aceitar transferências internacionais de dados entre o EEE e o Reino Unido é informar a pessoa interessada sobre a transferência e sobre os possíveis riscos, e solicitar o consentimento explícito da pessoa interessada para a transferência.

Além disso, de acordo com o artigo 49 da GDPR, podemos continuar fazendo transferências internacionais entre o EEE e o Reino Unido, quando a transferência for necessária para:

· A conclusão e/ou execução de um contrato ou medidas tomadas pelo interessado, ou em interesse do interessado.
· A formulação, exercício ou defesa de reivindicações.
· Proteger os interesses vitais do interessado ou de outras pessoas, quando o interessado esteja físico ou juridicamente incapacitado para dar seu consentimento.
· A transferência se realize por razões importantes de interesse público.
· Se efetue a partir de um registro público que, de acordo com o direito da União ou dos estados membros, tenha por objetivo facilitar informações ao público e esteja aberto à consulta do público em geral ou de qualquer pessoa que possa ter interesse legítimo, mas somente se forem cumpridas as condições estabelecidas, em cada caso particular.

Em sua nota de dezembro de 2020, o Comitê Europeu de Proteção de Dados observou que estas são exceções a serem utilizadas de forma restritiva.

REPRESENTANTE NA UNIÃO EUROPÉIA

Outra mudança é que, agora, as empresas britânicas que estão sujeitas a GDPR e que não contam com uma sede no território do EEE deverão designar um representante na União Europeia, segundo o estabelecido no artigo 7 da GDPR.

Em concreto, está sujeito a esta obrigação todo responsável ou encarregado pelo tratamento, do âmbito privado, que realize o tratamento de dados não ocasionais, em grande escala das categorias especiais de dados, grande escala dos dados relativos a condenações e infrações penais, e que possa apresentar um risco para os direitos e liberdade das pessoas físicas.

O representante, que deve estar estabelecido na UE, atuará como o ponto de contato do responsável ou encarregado com as partes interessadas e as autoridades de controle.

ÚNICO PONTO DE CONTATO

Outro ponto que devemos considerar nos processos de tratamentos de dados fronteiriços é o único ponto de contato. Como lembrete, o mecanismo de um único ponto de contato prevê que há uma única autoridade principal de proteção de dados, nos casos que uma entidade realize o tratamento de dados em vários países da EU. Bem, como é lógico, desde 1 de janeiro, o Reino Unido deixa de pertencer ao sistema de único ponto de contato.

Maria Diví

Maria Diví

Abogada. Responsable del Área de Derecho Digital.

Comentarios

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

Sem comentários