O novo Regulamento Geral de Protecção de Dados (PIBR) aprovada pela UE em Dezembro 2015, entrará em vigor para cada Estado-Membro em 25 de maio 2018, mas com o Reino Unido definida para deixar a União Europeia em março 2019 há complicações quando se trata de implementar a legislação da UE.
O que eu preciso saber?
O governo do Reino Unido confirmou que vai implementar PIBR maio 2018 como ele vai ser um Estado membro da UE no momento da introdução dos regulamentos. Esta afirmação veio do Secretário de Estado da Cultura, Mídia e Esporte, Karen Bradley, e, finalmente, resulta em organizações no Reino Unido que precisam estar em conformidade PIBR por 25 mai 2018.
PIBR é a primeira grande revisão legislativa de lei de Protecção de Dados Europeia desde a elaboração da directiva relativa à protecção de dados (DPD) no 1995. O GDPR é uma extensão e expansão do DPD que tenta privilegiar o direito do indivíduo de ter controle sobre seus próprios dados.
Será o primeiro de seu tipo; uma regulamentação global de proteção de dados. A proteção de dados está crescendo em importância global à medida que a interação online se torna a principal forma de realizar negócios. O mundo do processamento de dados mudou substancialmente desde a década de 1990 e a introdução do GDPR é um desenvolvimento bem-vindo para indivíduos preocupados com seu direito de acessar suas informações pessoais.
O que isso significa para o Reino Unido?
Embora tenha havido incerteza entre as empresas do Reino Unido sobre se valeria a pena investir nos preparativos para Conformidade com GDPR dada a falta de clareza em torno do Brexit, agora está claro que o Reino Unido é legalmente obrigado a implementar o GDPR devido ao fato de seu status de membro não ter sido alterado em maio 2018. Tanto quanto este, independentemente de o Reino Unido deixar a UE, se alguma empresa do Reino Unido quiser interagir com os dados de cidadãos da UE no futuro, eles terão que cumprir o GDPR; não é apenas obrigatório para os estados membros. Artigo 3 nos novos regulamentos discute quais empresas podem ser qualificadas como culpadas: “Todas as atividades de processamento relacionadas com a oferta de bens ou serviços ao titular dos dados da UE” e todo “o monitoramento do comportamento do titular dos dados da UE que ocorre na UE”.
Uma das coisas mais importantes para entender sobre o GDPR é que se seus negócios processam ou gerenciam qualquer informação que pertence a um indivíduo na UE, você está sujeito aos novos regulamentos. Se sua empresa opera no Reino Unido, você precisará aderir ao novo regulamento ou enfrentará repercussões potencialmente graves. Esses regulamentos de proteção de dados afetarão todas as organizações, baseado dentro e fora da UE, que processa ou armazena os dados pessoais de cidadãos da UE.
Como o GDPR me afetará?
Se você tem uma empresa que lida com dados pessoais de pessoas que vivem na UE, ou usar esses dados para realizar qualquer aspecto do seu negócio, você precisa fazer os preparativos necessários para o GDPR. Há uma série de novas diretrizes que não apareceram no DPD da UE que podem pegar você e resultar em até 4% multas em sua receita global.
Uma mudança importante que algumas empresas estão lutando para realizar é a ideia de que é a quem as informações pertencem, não onde as informações que importam são armazenadas. Anteriormente, era a localização dos centros de processamento de dados que regulavam as interações. Sob a nova lei, não importa onde os centros de processamento estão localizados, é o assunto cujas informações são que importam. Em outras palavras, você não precisa estar fisicamente estabelecido na UE para que a aplicação do GDPR se aplique a você.
Como o GDPR é uma extensão do DPD, existem semelhanças, mas também diferenças importantes entre os regulamentos. Alguns dos desenvolvimentos precisam ser examinados minuciosamente para serem implementados de forma adequada para o seu negócio.
Aqui estão alguns recursos novos e importantes:
- O direito de ser esquecido: O direito de um indivíduo de retirar seu consentimento do uso ou armazenamento de seus dados pessoais e de solicitar que sejam excluídos.
- Privacidade por Design: Os processos que envolvem a interação com dados pessoais agora serão projetados para obter explicitamente o consentimento de um indivíduo para seus dados pessoais, como opor ao consentimento implícito.
- Notificação de violação: Quando uma organização toma conhecimento de uma violação de segurança de dados pessoais, sob este novo regulamento, eles devem notificar as autoridades de dados dentro 72 horas da violação chamando sua atenção. Os sujeitos também serão notificados se os dados coletados representarem um "alto risco para seus direitos e liberdade". O não cumprimento pode resultar em multa.
- Extraterritorialidade: Se uma empresa coleta dados sobre assuntos da UE, independentemente da presença física dessa empresa na UE, eles estão em dívida com a adesão GDPR. Isso terá um grande efeito no e-commerce e outras organizações em nuvem.
Independentemente do status de estado-membro do Reino Unido, O Regulamento Geral de Proteção de Dados é um conjunto vasto e complexo de leis que devem ser investidas na implementação se quisermos continuar fazendo negócios na UE, ou negócios com dados coletados da UE. O Brexit não isenta o Reino Unido da regulamentação global de dados. É importante prestar atenção ao desenvolvimento de as próprias leis de proteção de dados do Reino Unido ao sair da UE, mas, por enquanto, o GDPR deve ser de extrema importância para todas as empresas dentro e fora da UE.
Nota do editor:
De tempos em tempos, SensorsTechForum apresenta artigos de hóspedes por segurança cibernética e os líderes infosec e entusiastas como este post. As opiniões expressas nestas mensagens de hóspedes, Contudo, são de inteira responsabilidade do autor contribuindo, e podem não refletir as de SensorsTechForum.
