Proteção de dados e um Brexit "sem acordo"

Proteção de dados e um Brexit

Proteção de dados e um Brexit "sem acordo"

 

Este “post” analisa algumas questões potenciais relacionadas à proteção de dados e ao Brexit, particularmente com referência a um possível cenário “sem acordo”. Um cenário “sem acordo” é aquele em que o Reino Unido deixa a UE e se torna um “terceiro país”.

 

Pelas 23h GMT de 29 de março de 2019 sem um Acordo de Retirada e estrutura para uma relação futura entre o Reino Unido e a UE.

 

Dia 29 de março de 2019 – 23:00 é definido como "dia de saída" no âmbito da Lei de Retirada da União Europeia 2019 ("EUWA - European Union (Withdrawal) Act 2018"). O foco principal é nas transferências transfronteiriças de dados pessoais, tanto nas transferências dos 27 Estados-Membros para o Reino Unido, como nas transferências do Reino Unido para os 27 Estados-Membros e para outras jurisdições.

 

A situação pode mudar se um acordo de retirada for implementado antes do dia de saída e / ou se uma legislação adicional for aprovada pelo Reino Unido ou pela UE.

 

Embora o Reino Unido seja um estado membro da UE, o seu regime de proteção de dados deriva principalmente do Regulamento Geral de Proteção de Dados da UE, complementado pela Lei de Proteção de Dados do Reino Unido 2018 (GDPR). Se o Reino Unido deixar a UE, tornar-se-á um “Terceiro país” no âmbito do GDPR (UE). Isto significa que os controladores e processadores de dados da UE que pretendam transferir dados pessoais para o Reino Unido estarão sujeitos aos requisitos do GDPR (UK) para a transferência de dados para países terceiros.

 

A posição atual declarada pelo governo britânico para uma solução negociada é usar a estrutura de “decisão de adequação” como ponto de partida para transferências da UE para o Reino Unido. Além disso, mensiona que procurará por uma “estrutura clara e transparente para facilitar o diálogo, minimizar o risco de interrupção do fluxo de dados e apoiar uma relação estável entre o Reino Unido e a UE para proteger os dados pessoais dos cidadãos do Reino Unido e da UE em toda a Europa”. Além disso, o governo procura “uma cooperação próxima e uma acção conjunta entre o Gabinete do Comissário para a Informação do Reino Unido (ICO) e as Autoridades de Proteção de Dados da UE”. É improvável que esta "adaptação" esteja disponível no dia da saída num cenário “sem acordo”, já que a avaliação da Comissão da União Européia sobre se o regime de proteção de dados do Reino Unido é “adequado” sob o RGPD (Regulamento Geral de Protecção de Dados) só começaria quando o Reino Unido deixasse a UE. Tal adaptação poderá levar meses ou anos.

 

"Sugere-se que, as empresas britânicas que desejem receber dados pessoais de organizações estabelecidas no EEE (Espaço Económico Europeu) devem considerar a possibilidade de ajudar o seu homólogo do "EEE" a identificar uma base jurídica alternativa para as transferências do EEE para o Reino Unido."

 

Haverá mudanças significativas na lei de proteção de dados no Reino Unido no dia da saída se não existir nenhum acordo em vigor no dia da saída?

 

Não. A orientação do Governo do Reino Unido confirma que, “Antes e depois de deixar a UE, estamos comprometidos com os mais altos padrões de proteção de dados e todas as organizações devem continuar a cumprir e fazer cumprir as suas obrigações mais amplas sob a lei de proteção de dados, incluindo o GDPR (conforme incorporado no Reino Unido). O Gabinete do Comissário de Informação (ICO) produzirá orientações adicionais descrevendo as etapas em que as organizações precisaram de tomar para continuarem a cumprir as suas obrigações ”.

 

Qual será o impacto que um Brexit “sem acordo” terá na proteção de dados para os controladores de dados do Reino Unido?

 

A principal área em que o Brexit tem um impacto potencial é nos mecanismos de transferência de dados entre fronteiras. Embora o Reino Unido continue a ser um membro da UE, as transferências de dados entre o Reino Unido e outros Estados-Membros não têm de cumprir as disposições do GDPR aplicáveis ​​às transferências de dados pessoais para “países terceiros”.

 

Num cenário sem acordo, o Reino Unido tornar-se-á um terceiro país no dia da saída e um controlador de dados ou processador na UE que deseja transferir dados pessoais para o Reino Unido estará sujeito às disposições do GDPR que controlam a transferência de dados pessoais para países terceiros.

 

Uma outra consequência de um Brexit “sem acordo” é que o Reino Unido não beneficiaria de “decisões de adequação” que a Comissão da UE tenha feito em relação a certos países terceiros. A Comissão fez todas as constatações de adequação relativamente a Andorra, Argentina, Guernsey, Ilha de Man, Israel, Jersey, Nova Zelândia, Suíça e Uruguai. A Comissão também fez conclusões parciais de adequação sobre o Canadá e os EUA. (Adequacy of the protection of personal data in non-EU countries…)

 

Descrevo algumas das consequências práticas, abaixo. Esta nota concentra-se nos aspectos da lei de proteção de dados que se aplicam às transferências de dados para dentro e fora do Reino Unido. Os controladores e processadores de dados necessitam no entanto de cumprir outros aspectos da lei de proteção de dados ao processar dados, por exemplo, os vários princípios de proteção de dados GDPR-UK.

 

Num cenário “sem acordo”, o que acontece com os dados pessoais que queremos enviar do Reino Unido para a UE após o dia da saída?

 

O governo do Reino Unido confirma na sua orientação... que:

“Você continuaria a ser capaz de enviar dados pessoais do Reino Unido para a UE. Em reconhecimento quanto ao grau de alinhamento sem precedentes entre o Reino Unido e os regimes de proteção de dados da UE, o Reino Unido, no momento da saída, continuará a permitir o livre fluxo de dados pessoais do Reino Unido para a UE."

No entanto, o Reino Unido irá manter esta matéria sob revisão.

 

Esperamos que o governo do Reino Unido faça alterações à Lei de Proteção de Dados 2018 para implementar este regime pós-Brexit. A implicação de permitir o fluxo contínuo e livre de dados sugere que o Governo pretende tratar as transferências de dados pessoais pós-Brexit para a UE como "adequadas" para fins de proteção de dados do Reino Unido. Pretende-se, presumivelmente, evitar a necessidade de os controladores de dados do Reino Unido implementarem outros mecanismos para permitir a transferência de dados pessoais do Reino Unido para a UE, como cláusulas contratuais padrão.

 

No entanto, os controladores e processadores de dados precisam manter os seus acordos sob revisão, especialmente quando o governo do Reino Unido publica quaisquer emendas propostas à Lei de Proteção de Dados e quando o Gabinete do Comissário para a Informação “ICO” emitir orientações adicionais.

 

Num cenário “sem acordo”, o que acontece com os dados pessoais que queremos receber da UE após o dia da saída?

 

Os controladores e processadores de dados na UE terão de considerar quaisquer orientações que os seus próprios reguladores nacionais ou o Comité Europeu para a Proteção de Dados emite em relação ao Brexit.

 

A orientação do governo do Reino Unido confirma que:

 

“Se a Comissão Europeia não tomar uma decisão de adequação relativamente ao Reino Unido no ponto de saída e pretender receber dados pessoais de organizações estabelecidas na UE (incluindo centros de dados), deverá considerar ajudar os seus parceiros da UE a identificar uma base jurídica. para essas transferências.

 

Para a maioria das organizações, a base legal alternativa mais relevante seria cláusulas contratuais padrão. Estas são cláusulas modelo de proteção de dados que foram aprovadas pela Comissão Europeia e permitem o livre fluxo de dados pessoais quando incorporadas num contrato. As cláusulas contêm obrigações contratuais sobre você e o seu parceiro da UE e direitos para os indivíduos cujos dados pessoais são transferidos. Em determinadas circunstâncias, os seus parceiros da UE podem, alternativamente, poder confiar numa derrogação para transferir dados pessoais. Recomendamos que você avalie de maneira proativa as ações necessárias para garantir o fluxo contínuo de dados com parceiros da UE. Mais detalhes sobre a disponibilidade de cada base legal e os processos associados à sua utilização estão disponíveis no website do Information Commissioner Officer (ICO). ”

 

Podemos ajudar os nossos clientes a decidir se essas cláusulas contratuais padrão são uma solução adequada quando pretendem receber dados pessoais de controladores ou processadores de dados da UE. Também podemos auxiliar na elaboração ou aconselhamento sobre acordos apropriados e sobre outros mecanismos de transferência potenciais, por exemplo, o uso de regras corporativas vinculantes por grupos de empresas ou empresas envolvidas numa atividade econômica conjunta.

 

Num cenário de “não acordo”, o que acontece com os dados pessoais que queremos enviar para países fora da UE após o dia da saída?

 

Como mencionado acima, alguns países estão sujeitos a “decisões de adequação” integrais ou parciais pela Comissão da UE, o que significa que eles têm níveis adequados de proteção que atendem aos requisitos do GDPR (General Data Protection Regulation).

 

A orientação do governo não declarou expressamente se o Reino Unido procurará adotar essas decisões pós-Brexit. O acordo Privacy Shield UE-EUA é apoiado por um acordo entre a UE e os EUA, e o Reino Unido precisaria de negociar o seu próprio acordo com os EUA se desejasse adotar os arranjos do Privacy Shield.

 

Controladores e processadores de dados precisarão de manter os seus acordos sob revisão, particularmente quando o governo do Reino Unido publicar quaisquer emendas propostas ao “Data Protection Act” e quando o ICO (Information Commissioner's Office) emitir orientações adicionais.

 

Num cenário de “não acordo”, o que acontece com os dados pessoais que queremos receber de países fora da UE após o dia da saída?

 

Essas transferências não devem ser afetadas pelo Brexit, mas se os controladores de dados ou processadores tiverem fluxos de dados críticos, eles podem querer verificar a posição legal do país de onde os dados estão a ser enviados.

 

Existem outras implicações para dados pessoais num cenário de “não acordo”?

 

Não está claro sobre o que os reguladores necessitariam para cumprir rigorosamente os requisitos do GDPR imediatamente após o dia da saída, no caso de um “não acordo”, dado o estreito alinhamento dos regimes do Reino Unido e da UE. Dependendo da praticidade da implementação de salvaguardas, como cláusulas contratuais padrão, os controladores e processadores podem ter que tomar decisões com base no risco, dependendo da natureza e sensibilidade dos dados envolvidos e da importância dos fluxos de dados para as suas operações.

Para se preparar para este cenário, os controladores e processadores de dados podem querer verificar se possuem detalhes suficientes dos seus fluxos de dados transfronteiriços existentes e em segurança, poder manusea-los num local acessível. Eles poderam já ser portadores de tais informações como parte da sua conformidade com o GDPR e Registo de Atividade de Processamento. No entanto, a posição pode ficar mais clara quando as autoridades reguladoras do Reino Unido e da UE emitirem orientações sobre o Brexit.

 

Outras disposições do GDPR em que exigem que os registos e documentação incluam requisitos relativos a transferências de dados para países terceiros, por exemplo, como parte da informação a ser dada aos titulares de dados ao abrigo dos artigos 13 e 14 do GDPR, e o registo das atividades de processamento nos termos do artigo 30. Esses registros devem ser atualizados para refletir o regime pós-Brexit.

 

Quando um controlador de dados ou processador não está estabelecido na UE, o RGPD aplica-se ainda às suas atividades de processamento relacionadas a:

 

  1. Oferta de bens ou serviços a titulares de dados na UE, independentemente de ser ou não exigido um pagamento pela pessoa em causa; ou
  2. A monitorização do comportamento dos titulares de dados na UE, na medida em que esse comportamento ocorre na UE.

 

Estas são conhecidas como “Territorial scopeartigo 3 do GDPR... , “Aplicação Territorial artigo 3 UE...”.

Em tais circunstâncias, o controlador ou processador é obrigado, de acordo com o GDPR, a indicar por escrito um “representante” estabelecido num dos estados membros da UE onde os titulares de dados relevantes estão localizados. Há exceções limitadas a esse requisito para autoridades públicas e para processamento “ocasional” que estão além do escopo desta nota. A identidade e os detalhes de contato do representante devem ser fornecidos nas informações fornecidas aos titulares dos dados nos termos dos Artigos 13 e 14 do GDPR. O GDPR impõe obrigações diretas ao representante além daquelas no controlador (por exemplo, para manter um registro das atividades de processamento, cooperar com as autoridades de supervisão no exercício das suas funções). Uma falha por parte de um controlador ou processador de dados do Reino Unido de nomear um representante quando isso for exigido pelo GDPR pode levar a uma multa ou outra acção de execução por um regulador da UE.

 

Também não está claro se o Reino Unido implementará disposições extraterritoriais equivalentes no seu regime de proteção de dados pós-Brexit. A posição deve tornar-se mais clara quando for publicado o projeto de lei para alterar a Lei de Proteção de Dados Act 2018 (UK).

 

Outra consequência de um não acordo Brexit seria remover o Reino Unido do “one stop shop” mechanism..., de modo a que o ICO (Information Commissioner's Office) não pudesse vir agir como “autoridade de supervisão principal”.

 

Uma "autoridade de supervisão principal" é a autoridade com a responsabilidade primária em lidar com uma atividade de processamento de dados transfronteiriça, por exemplo, quando um titular de dados faz uma reclamação sobre o processamento dos seus dados pessoais. “Cross-border” neste contexto significa

ou o:

 

  1. tratamento de dados pessoais que ocorre no contexto das actividades de estabelecimentos em mais do que um Estado-Membro da UE de um responsável pelo tratamento ou sub-contratante na [UE] em que o responsável pelo tratamento ou o sub-contratante está estabelecido em mais do que um Estado-Membro da UE ; ou

 

  1. O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou sub-contratante na [UE], mas que afeta substancialmente ou é suscetível de afetar substancialmente os titulares de dados em mais de um Estado-Membro.

 

  1. As orientações publicadas pelos reguladores da UE afirmam que, se um responsável pelo tratamento «não tem um estabelecimento na UE, a mera presença de um representante num Estado-Membro não aciona o sistema de “one stop shop”. Isto significa que os controladores sem qualquer estabelecimento na UE devem lidar com as autoridades de supervisão locais em todos os Estados-Membros em que estão activas, através do seu representante local. ”

 

 

 

Também podem existir questões práticas para os reguladores ou titulares de dados que procuram aplicar os diferentes aspectos da lei de proteção de dados do Reino Unido na UE e vice-versa.

As decisões a tomar por parte do Governo Britânico sobre o  “Sim” ou o “Não” estão próximas, por esse motivo iremos acompanhar de muito perto o desenvolvimento desta matéria.

 

RJCS

_______________________________

 

Referêncas:

European Union (Withdrawal) Act 2018...

EU Withdrawal Act 2018 statutory instruments...

Guidance Data protection if there’s no Brexit deal  (Published 13 September 2018)...

Adequacy of the protection of personal data in non-EU countries...

GDPR requirements for international transfers...

Guidance on how to prepare for Brexit if there's no deal.​​​​​​ - GOV-UK...

GDPR Article 13 and 14...

What do we need to document under Article 30 of the GDPR?...

UE Regulamento Geral no âmbito de aplicação territorial...

GDPR recitals and articles (article 3)...

ARTICLE 29 DATA PROTECTION WORKING PARTY 16/PT WP 244...