Decorative
Glossário
Sumário
Link do título do texto

GDPR do Reino Unido e Lei de Proteção de Dados (DPA) 2018

O Reino Unido possui sua própria Estrutura de Proteção de Dados que rege como as organizações coletam, usam e gerenciam dados pessoais. Essa estrutura é construída sobre duas peças-chave de legislação: o Regulamento Geral de Proteção de Dados do Reino Unido (UK GDPR) e a Lei de Proteção de Dados (DPA) de 2018.

O GDPR do Reino Unido entrou em vigor após o Brexit, substituindo o GDPR da UE no Reino Unido. Embora reflita o regulamento da UE em muitas áreas, a versão do Reino Unido dá ao governo flexibilidade para introduzir mudanças adaptadas às prioridades nacionais.

A DPA 2018 funciona em conjunto com o GDPR do Reino Unido como a lei de proteção de dados doméstica do Reino Unido. Ela abrange áreas específicas não abordadas pelo GDPR do Reino Unido, como aplicação da lei, segurança pública e isenções de segurança nacional.

O GDPR do Reino Unido e a DPA 2018 criam um sistema completo para proteger informações pessoais em diferentes situações, e seguir ambos é obrigatório para organizações que lidam com dados pessoais no Reino Unido.

O que é o GDPR do Reino Unido?

O GDPR do Reino Unido é a lei principal que rege como os dados pessoais são processados no Reino Unido. Ele se aplica a qualquer organização, seja sediada no Reino Unido ou no exterior, que coleta, armazena ou processa informações pessoais de residentes do Reino Unido. Isso inclui tanto sistemas digitais quanto registros manuais.

A partir de 1º de janeiro de 2021, após o Reino Unido deixar a UE, o GDPR do Reino Unido foi estabelecido por meio do Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019. Ele mantém as ideias centrais do GDPR da UE, que se tornou lei em toda a Europa em 2018, com foco no tratamento de dados lícito, justo e transparente.

O GDPR do Reino Unido protege os direitos individuais ao estabelecer regras claras para o uso responsável de dados, desde detalhes de clientes até registros de funcionários. Embora esteja alinhado com o GDPR da UE, ele permite mudanças futuras para atender às necessidades do Reino Unido, portanto, as organizações devem ficar atentas às atualizações para permanecerem em conformidade.

Esta lei promove a confiança ao exigir que as organizações tratem as informações pessoais com cuidado, equilibrando a responsabilidade com o uso prático dos dados.

O Que É a Lei de Proteção de Dados (DPA) 2018?

A DPA 2018 apoia o GDPR do Reino Unido para formar uma estrutura completa de proteção de dados para o Reino Unido. Ela adiciona regras específicas adaptadas às necessidades legais e políticas do Reino Unido, cobrindo áreas onde o GDPR do Reino Unido sozinho não é suficiente.

A DPA 2018 aborda situações únicas, tais como:

  • Processamento de dados para aplicação da lei: Estabelece regras separadas sobre como os dados pessoais podem ser tratados por agências policiais e de justiça criminal. Isso equilibra os direitos de privacidade com a segurança pública.
  • Controle de imigração: Introduz isenções específicas relacionadas a questões de imigração.
  • Segurança nacional: Permite certas isenções quando o processamento de dados se relaciona a serviços de segurança ou inteligência.

Além disso, a DPA 2018 define os papéis e poderes do Information Commissioner's Office (ICO), o órgão regulador independente de proteção de dados do Reino Unido responsável por fazer cumprir as leis de proteção de dados, investigar violações e fornecer orientação às organizações.

A DPA 2018 também esclarece as regras para o processamento de dados sensíveis, como informações de crianças, e estabelece bases legais para o uso de dados em casos específicos. Juntamente com o GDPR do Reino Unido, forma um sistema claro que as organizações devem seguir para operar legalmente.

GDPR do Reino Unido vs DPA 2018: Qual é a Diferença?

O GDPR do Reino Unido e a DPA 2018 se sobrepõem em algumas áreas. No entanto, cada lei desempenha uma função diferente dentro da estrutura mais ampla de proteção de dados.

O GDPR do Reino Unido estabelece os principais princípios, direitos e obrigações para o processamento de dados pessoais. Ele reflete a estrutura do GDPR original da UE, com foco no uso justo, legal e transparente de dados. Ele protege os direitos individuais e promove a responsabilidade entre as organizações.

A DPA 2018 complementa o GDPR do Reino Unido ao adicionar disposições específicas ao ambiente legal e político do Reino Unido. Ela esclarece como o GDPR do Reino Unido se aplica em determinados contextos e introduz regras adicionais quando necessário.

Principais Diferenças

As principais diferenças entre o GDPR do Reino Unido e a DPA 2018 são as seguintes:

  • Processamento de dados de aplicação da lei e justiça criminal: A DPA 2018 contém uma seção dedicada que abrange o processamento de dados pessoais para fins de aplicação da lei. Essas regras visam equilibrar a segurança pública com as proteções de privacidade.
  • Isenções de segurança nacional: A DPA 2018 inclui isenções específicas para o processamento de dados pessoais relacionados à segurança nacional, serviços de inteligência e atividades relacionadas.
  • Tratamento de dados de categoria especial: Ambas as leis estabelecem requisitos rigorosos para o processamento de dados sensíveis, como informações de saúde, origem racial ou étnica e opiniões políticas. No entanto, a DPA 2018 fornece mais detalhes sobre como essas regras se aplicam no Reino Unido.
  • Códigos de prática da ICO: A DPA 2018 confere à ICO a autoridade para emitir códigos de prática e orientações que ajudam as organizações a aplicar a lei na prática.

As organizações devem seguir ambas as leis em conjunto, pois cumprir apenas uma deixaria lacunas, arriscando penalidades e perda de confiança.

Quem Deve Cumprir o GDPR do Reino Unido e a DPA 2018?

O GDPR do Reino Unido e a DPA 2018 se aplicam a uma ampla gama de organizações que processam dados pessoais. Essas leis são projetadas para proteger os direitos de privacidade dos indivíduos e estabelecem regras claras sobre como as informações pessoais são coletadas, armazenadas e usadas.

As duas leis se aplicam a:

  • Organizações sediadas no Reino Unido: Qualquer organização estabelecida no Reino Unido que processe dados pessoais deve cumprir. Isso se aplica a empresas, autoridades públicas, instituições de caridade e outras organizações, independentemente de seu tamanho ou setor.
  • Organizações fora do Reino Unido: As regras também se aplicam a organizações sediadas fora do Reino Unido se oferecerem bens ou serviços a indivíduos no Reino Unido (mesmo que gratuitamente) ou monitorarem o comportamento de indivíduos no Reino Unido.

Os tipos de dados cobertos são:

  • Processamento automatizado de dados (por exemplo, bancos de dados de clientes e sistemas de CRM).
  • Colchetes de dados estruturados (por exemplo, arquivos organizados ou planilhas).
  • Alguns dados não estruturados, particularmente se mantidos por autoridades públicas.

Em resumo, tanto organizações do setor privado quanto do setor público, independentemente de onde estejam localizadas, podem estar sujeitas a essas leis se processarem dados pessoais de residentes do Reino Unido.

O Que é Considerado Dados Pessoais Sob o UK GDPR & DPA?

O GDPR do Reino Unido e a DPA 2018 definem dados pessoais como qualquer informação que se relacione a um indivíduo identificável. Isso inclui informações que podem identificar alguém diretamente, como seu nome, ou indiretamente quando combinadas com outros detalhes.

Alguns exemplos de dados pessoais incluem:

  • Nome e detalhes de contato.
  • Números de identificação (por exemplo, número do Seguro Nacional ou número do passaporte).
  • Dados de localização e identificadores online (por exemplo, endereços IP).
  • Dados biométricos e genéticos usados para identificar indivíduos.

Se uma informação pode ser usada para identificar uma pessoa, sozinha ou com outros dados, ela é considerada dado pessoal sob a lei do Reino Unido.

Certos tipos de dados pessoais são considerados mais sensíveis e exigem proteções adicionais. Estes são conhecidos como dados de categoria especial e incluem:

  • Origem racial ou étnica.
  • Crenças religiosas ou filosóficas.
  • Opiniões políticas.
  • Filiação sindical.
  • Informações de saúde.
  • Dados genéticos e biométricos usados para identificação.
  • Detalhes sobre a vida sexual ou orientação sexual de uma pessoa.

As organizações devem ter uma base legal mais forte para processar dados de categoria especial, e salvaguardas adicionais frequentemente se aplicam.

Também é importante observar o que realmente constitui "processamento" sob o UK GDPR e DPA 2018. Essencialmente, refere-se a qualquer operação realizada em dados pessoais, como:

  • Coletando
  • Armazenando
  • Organizando
  • Usando
  • Compartilhamento
  • Excluindo ou destruindo

As leis se aplicam tanto ao processamento automatizado (como registros digitais) quanto a sistemas de arquivamento manual, se os dados pessoais forem organizados de forma estruturada.

Quais São os 7 Princípios da Proteção de Dados?

O GDPR do Reino Unido descreve sete princípios fundamentais que orientam como as organizações lidam com dados pessoais. Esses princípios formam a base do sistema de proteção de dados do Reino Unido e se aplicam a todo o processamento de dados.

Os 7 Princípios da Proteção de Dados

  1. Legalidade, equidade e transparência

Os dados devem ser processados de forma legal e justa, com informações claras fornecidas aos indivíduos sobre seu uso, como por meio de avisos de privacidade.

  1. Limitação de finalidade

Os dados devem ser coletados apenas para fins específicos e claros e não devem ser usados para nada incompatível com esses fins, a menos que o indivíduo concorde.

  1. Minimização de dados

Minimização de dados é coletar apenas os dados pessoais que as organizações realmente precisam para suas finalidades declaradas. Por exemplo, solicitar o nome e endereço de um cliente para entregar um produto sem solicitar detalhes desnecessários.

  1. Precisão

Medidas razoáveis devem ser tomadas para manter os dados pessoais precisos e atualizados. Isso inclui coisas como fornecer maneiras para que os indivíduos corrijam informações de contato imprecisas.

  1. Limitação de armazenamento

Os dados pessoais não devem ser mantidos por mais tempo do que o necessário para os fins para os quais foram coletados. Por exemplo, as organizações devem excluir registros antigos de clientes que não são mais necessários por motivos comerciais ou legais.

  1. Integridade e confidencialidade (segurança)

Medidas de segurança apropriadas devem estar em vigor para proteger dados pessoais contra acesso não autorizado, perda ou dano. Isso inclui o uso de criptografia para proteger informações sensíveis armazenadas nos sistemas da empresa.

  1. Responsabilidade

As organizações devem demonstrar conformidade mantendo registros das atividades de dados e treinando a equipe.

Estes sete princípios se aplicam a todas as organizações que processam dados pessoais e formam a base para a construção de uma abordagem de proteção de dados legal e transparente.

Direitos do Titular dos Dados sob o GDPR do Reino Unido e DPA 2018

O GDPR do Reino Unido e a DPA 2018 conferem aos indivíduos direitos claros sobre seus dados pessoais e mais controle sobre como as informações são coletadas, usadas e compartilhadas.

As organizações devem compreender e respeitar esses direitos. Elas também precisam responder às solicitações dos indivíduos dentro dos prazos estabelecidos.

Aqui estão os principais direitos dos titulares de dados que organizações e indivíduos precisam conhecer:

  • Direito de ser informado: Os indivíduos têm o direito de saber que seus dados pessoais estão sendo usados. As organizações devem fornecer informações claras, geralmente por meio de avisos de privacidade.
  • Direito de acesso: As pessoas podem solicitar acesso aos dados pessoais que uma organização possui sobre elas. Isso é frequentemente chamado de Solicitação de Acesso do Titular (SAR). A organização deve fornecer as informações, geralmente dentro de um mês.
  • Direito à retificação: Se os dados pessoais estiverem incorretos ou incompletos, os indivíduos podem solicitar que sejam corrigidos.
  • Direito ao apagamento (direito ao esquecimento): Em certas situações, os indivíduos podem solicitar que seus dados pessoais sejam excluídos. Este direito se aplica, por exemplo, quando os dados não são mais necessários para sua finalidade original, ou quando o consentimento foi retirado.
  • Direito de restringir o processamento: Os indivíduos podem solicitar que seus dados sejam apenas armazenados e não utilizados para outros fins em circunstâncias específicas, como quando a precisão dos dados é contestada.
  • Direito à portabilidade de dados: As pessoas podem solicitar o recebimento de seus dados pessoais em um formato estruturado, comumente usado e legível por máquina. Elas também podem solicitar que os dados sejam transferidos para outra organização.
  • Direito de objeção: Os indivíduos podem se opor ao uso de seus dados pessoais para determinados fins, incluindo marketing direto.
  • Direitos relacionados à tomada de decisões automatizadas e criação de perfis: As pessoas têm proteções quando as decisões são tomadas exclusivamente por processos automatizados, especialmente se a decisão tiver efeitos significativos (por exemplo, elegibilidade para crédito ou emprego).

A DPA 2018 introduz isenções a alguns direitos em situações específicas, incluindo:

  • Dados processados para fins de aplicação da lei
  • Dados processados para controle de imigração
  • Processamento relacionado à segurança nacional

Nesses casos, certos direitos podem ser limitados para equilibrar a privacidade individual com o interesse público ou requisitos de segurança.

Principais Obrigações Empresariais sob o GDPR do Reino Unido e a DPA 2018

Organizações, órgãos públicos, instituições de caridade e outros grupos e empresas que lidam com dados pessoais no Reino Unido devem cumprir responsabilidades específicas sob o UK GDPR e DPA 2018.

Estabelecer uma base legal para o processamento

As organizações devem ter uma razão válida para coletar e usar dados pessoais. As bases legais sob o GDPR do Reino Unido incluem:

  • Consentimento do indivíduo
  • Cumprindo um contrato
  • Proteção de interesses vitais (por exemplo, salvar a vida de alguém)
  • Cumprimento de uma obrigação legal
  • Realizar uma tarefa de interesse público
  • Interesses legítimos perseguidos pela organização ou por terceiros (a menos que sejam sobrepujados pelos direitos individuais)

Implementar medidas de segurança de dados

Medidas técnicas e organizacionais apropriadas devem ser tomadas para proteger dados pessoais. Isso inclui o uso de criptografia, controle de acesso a sistemas e proteção de dados contra perda ou uso não autorizado.

Nomeie um Encarregado de Proteção de Dados (DPO) se necessário

Algumas organizações precisam nomear um DPO, particularmente se:

  • É uma autoridade pública
  • Realizar monitoramento em larga escala de indivíduos
  • Processar grandes volumes de dados de categoria especial

Manter registros das atividades de processamento (ROPA)

A maioria das organizações precisa manter registros internos dos dados pessoais que processam, como são usados e a base legal para o processamento. Isso ajuda a demonstrar responsabilidade.

Realize avaliações de impacto sobre a proteção de dados (DPIAs) para processamento de alto risco

Se uma organização realizar processamento que possa resultar em alto risco aos direitos de um indivíduo, ela deve conduzir uma DPIA antes de iniciar a atividade. Por exemplo, uma DPIA seria necessária quando uma empresa estiver realizando uso em larga escala de dados sensíveis ou criação de perfis.

Responder a solicitações de acesso ao titular e direitos de dados

As organizações devem responder às solicitações de indivíduos que exercem seus direitos sob a lei de proteção de dados, como solicitações de acesso ou retificação. Na maioria dos casos, a resposta deve ser fornecida dentro de um mês.

Se uma organização não cumprir essas responsabilidades, isso pode resultar em ações de fiscalização, danos à reputação e penalidades significativas.

Como Lidar com Violações de Dados sob o GDPR do Reino Unido

Uma violação de dados pessoais pode ocorrer quando informações são perdidas, acessadas sem permissão, alteradas ou destruídas. De acordo com o GDPR do Reino Unido, as organizações devem seguir etapas claras para responder a tais incidentes.

Em caso de violação de dados, estas são as etapas que as organizações devem seguir:

  • Notificar a ICO em até 72 horas: Se uma violação criar um risco aos direitos ou liberdades dos indivíduos, a organização deve reportá-la à ICO em até 72 horas após tomar conhecimento.
  • Informar os indivíduos afetados: Se a violação puder resultar em um alto risco para os indivíduos, a organização também deve informar os afetados sem demora desnecessária.
  • Documente a violação: Mesmo que uma violação não precise ser relatada, as organizações devem manter registros internos do que aconteceu, como foi gerenciada e qualquer ação corretiva tomada.
  • Compreendendo funções e responsabilidades: Tanto os controladores quanto os processadores de dados têm responsabilidades durante uma violação. Os processadores devem notificar o controlador sem demora, e os controladores são responsáveis por avaliar o impacto e decidir sobre os próximos passos.

A preparação para violação de dados deve ser uma parte essencial da prontidão para conformidade de qualquer organização. Isso significa ter procedimentos claros, planos de resposta e treinamento de equipe implementados para lidar com incidentes de forma eficaz e reduzir possíveis danos.

Transferências Internacionais de Dados sob a Lei do Reino Unido

O GDPR do Reino Unido impõe restrições à transferência de dados pessoais para países fora do Reino Unido. Essas regras existem para garantir que as informações dos indivíduos permaneçam protegidas quando saem da estrutura legal do Reino Unido.

As organizações devem usar salvaguardas apropriadas, a menos que o destino seja aprovado como adequado pelo governo do Reino Unido.

Estes são os mecanismos legais para transferências internacionais:

  • Decisões de adequação: O governo do Reino Unido pode decidir que um país, território ou organização internacional oferece um nível de proteção de dados comparável aos padrões do Reino Unido. Transferências para esses locais são permitidas sem medidas adicionais.
  • Cláusulas Contratuais Padrão (SCCs): As SCCs são acordos legais aprovados pelo governo do Reino Unido. Elas estabelecem obrigações contratuais para proteger dados pessoais ao transferi-los para países sem uma decisão de adequação.
  • Acordos de Transferência Internacional de Dados (IDTAs): Os IDTAs são adaptados para organizações do Reino Unido que transferem dados internacionalmente. Eles fornecem uma alternativa aos SCCs, oferecendo um conjunto padrão de termos para proteger dados pessoais.
  • Regras Corporativas Vinculativas (BCRs): As BCRs permitem que organizações multinacionais transfiram dados dentro de seu grupo de empresas. No entanto, elas só podem fazer isso se tiverem políticas aprovadas e aplicáveis que atendam aos requisitos do GDPR do Reino Unido.

Em alguns casos excepcionais, as organizações podem transferir dados pessoais sem esses mecanismos. Por exemplo:

  • O indivíduo recebe consentimento explícito após ser informado dos riscos potenciais.
  • A transferência é necessária para a execução de um contrato.
  • Existem razões importantes de interesse público.

Transferências internacionais envolvem riscos legais e de reputação. Portanto, as organizações devem avaliar as circunstâncias cuidadosamente e usar as salvaguardas apropriadas.

Aplicação e Penalidades

O ICO é responsável por fazer cumprir o GDPR do Reino Unido e a DPA 2018. O ICO tem autoridade para investigar organizações, emitir orientações e tomar medidas quando a lei é violada. Seus poderes específicos incluem:

  • Investigando reclamações ou suspeitas de não conformidade.
  • Realizando auditorias e inspeções.
  • Emitir advertências ou repreensões.
  • Aplicação de multas por violações da lei de proteção de dados.

A ICO pode emitir multas significativas com base na gravidade da violação:

  • Até £ 8,7 milhões ou 2% do faturamento anual global (o que for maior) para infrações menos graves.
  • Até £17,5 milhões ou 4% do faturamento anual global (o que for maior) para violações mais graves. Isso inclui coisas como processamento ilegal ou falha em defender os direitos dos indivíduos.

As organizações frequentemente enfrentam penalidades por:

  • Coletar ou usar dados pessoais sem o consentimento adequado.
  • Falha na implementação de medidas de segurança adequadas para proteger dados.
  • Ignorar solicitações de acesso de titulares de dados (DSARs) ou não responder dentro do prazo exigido.

Os órgãos reguladores esperam que as organizações levem a proteção de dados a sério. O não cumprimento das obrigações legais pode resultar em penalidades financeiras, danos à reputação e ações judiciais.

Como Construir um Programa de Proteção de Dados em Conformidade

Construir um programa eficaz de proteção de dados ajuda as organizações a cumprir suas responsabilidades sob o GDPR do Reino Unido e a DPA 2018.

Aqui estão as principais etapas para apoiar a conformidade:

  • Crie uma política de privacidade clara e concisa: Sua política de privacidade deve explicar quais dados pessoais você coleta, como os utiliza, sua base legal para o processamento e como os indivíduos podem exercer seus direitos.
  • Treine a equipe sobre responsabilidades e manuseio de dados: Todos os envolvidos no manuseio de dados pessoais devem entender seu papel. Isso inclui como reconhecer e relatar riscos ou violações potenciais.
  • Implementar processos de gestão de fornecedores: As organizações devem avaliar e gerenciar os riscos associados a fornecedores terceirizados que processam dados pessoais. Isso inclui ter contratos claros e termos de proteção de dados estabelecidos.
  • Realize avaliações de risco de dados: Uma avaliação de risco de dados regular ajuda as organizações a identificar vulnerabilidades, avaliar a probabilidade de incidentes e aplicar controles apropriados para proteger dados pessoais.
  • Manter registros e trilhas de auditoria: Manter registros precisos das atividades de processamento de dados demonstra responsabilidade. Isso inclui documentar as bases legais para o processamento, os fluxos de dados e as medidas de segurança.
  • Monitore atualizações das orientações do GDPR do Reino Unido e da DPA 2018: A lei de proteção de dados evolui ao longo do tempo. As organizações devem verificar regularmente as atualizações do ICO e revisar os processos internos para refletir as mudanças nos requisitos legais.

Ao adotar essas práticas, as organizações podem atender aos padrões legais, proteger dados pessoais e construir confiança com seus usuários, clientes e consumidores.

Analise este artigo com IA:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Termos Relacionados

Nenhum item encontrado.