Os Regulamentos Gerais de Proteção de Dados do Reino Unido (RGPD do Reino Unido) entraram em vigor em 1 de janeiro de 2021 e estabelecem os princípios, direitos e obrigações fundamentais para o processamento de dados no Reino Unido. É quase inteiramente baseado no GDPR da UE (que se aplicava no Reino Unido antes de janeiro de 2021) e acompanha o Data Protection Act 2018 (DPA).
Com a abundância de iniciais, algumas pequenas empresas estão compreensivelmente sobrecarregadas. Alguns ignoram ativamente o que consideram ser um fardo administrativo, enquanto outros, sem saber, violam os regulamentos de proteção de dados. Independentemente da sua visão do RGPD do Reino Unido, uma coisa é certa; esquecê-lo pode ter repercussões onerosas por meio de multas pesadas e danos à reputação de sua empresa.
O órgão encarregado de fazer cumprir as violações da proteção de dados no Reino Unido é o Information Commissioner’s Office (ICO). Muitas das ações de fiscalização buscadas pela OIC estão relacionadas a técnicas agressivas de marketing direto, como ligações e e-mails incômodos. Por exemplo, a ColourCoat Ltd, uma empresa de benfeitorias com sede em Hastings, foi multada em £ 130.000 pela ICO em junho de 2021 após uma quantidade substancial de ligações de marketing direto.
As empresas também devem estar atentas às Normas de Privacidade e Comunicações Eletrônicas (PECR). Embora o GDPR do Reino Unido cubra o processamento de dados pessoais, o PECR foi desenvolvido para proteger a privacidade e a segurança dos dados pessoais ao usar comunicações eletrônicas. O PECR cobre aspectos do seu negócio, como marketing eletrônico e o uso de cookies no seu site. Portanto, é importante que as empresas estejam cientes de suas responsabilidades nesse sentido também, embora seja importante observar que esses regulamentos estão atualmente em revisão.
No entanto, a ação de fiscalização da OIC não se limita ao desrespeito deliberado dos regulamentos. A Mermaids, uma instituição de caridade que apoia jovens trans, foi multada em 8 de julho de 2021 por não manter os dados pessoais de seus usuários seguros. Em seu relatório, a OIC concluiu que havia uma “abordagem negligente” em relação à proteção de dados, com políticas inadequadas de proteção de dados e falta de treinamento presencial em proteção de dados. Apesar da Mermaids ser uma instituição de caridade com apenas 18 funcionários e a OIC reconhecer que tomou medidas imediatas para mitigar os danos aos titulares dos dados assim que foram informados da violação, as sereias receberam uma multa de £ 25.000.
Essa multa demonstra as graves consequências que podem esperar as pequenas empresas que violem o RGPD do Reino Unido, e as PMEs devem estar cientes do grau de culpabilidade que será avaliado ao calcular as penalidades monetárias. A boa notícia é que, como o GDPR do Reino Unido reproduz em grande parte o GDPR da UE, se sua empresa estava em conformidade com o GDPR da UE, você descobrirá que já está em grande parte com o GDPR do Reino Unido. No entanto, à luz das mudanças, uma auditoria de dados ou revisão é aconselhável para garantir a conformidade contínua. Com isso em mente, vamos considerar o que pode ser feito para garantir que sua empresa cumpra suas obrigações de dados.
> Veja também: 9 etapas para conformidade com o GDPR para seu primeiro site comercial
Seis etapas para garantir que você esteja em conformidade com o GDPR do Reino Unido
Atualizar políticas e procedimentos
Os dados dos indivíduos que sua empresa usa devem ser informados por meio de um aviso de privacidade dos tipos de dados pessoais que você mantém relacionados a eles; como seus dados pessoais devem ser usados; e com que finalidade (ões).
Uma política de proteção de dados voltada para o interno (um padrão de privacidade) deve ser implementada. Deve estabelecer princípios e condições legais que você deve cumprir ao obter, manusear, processar, transportar ou armazenar dados pessoais e fornecer dados para clientes, clientes, fornecedores e funcionários. Uma política atualizada demonstrará como sua organização processa dados pessoais e alertará os funcionários sobre suas obrigações.
As empresas são obrigadas a revisar os contratos com terceiros onde o processamento de dados pessoais está envolvido e garantir que eles estejam atualizados com as obrigações de cada uma das partes, seja como controlador ou processador de dados.
Eduque sua organização
Todos os funcionários precisam estar cientes de suas obrigações de regulamentação de dados. Mantê-los treinados em suas novas políticas, avisos e procedimentos garantirá que eles sejam seguidos de forma consistente e imediata. Conforme demonstrado no caso da sereia, o treinamento presencial para funcionários também é uma boa prática para garantir que sua equipe entenda suas obrigações. Em algumas organizações, um oficial de proteção de dados (DPO) obrigatório deve ser nomeado para formular e implementar estratégias de processamento de dados e manter a organização informada. É sensato nomear alguém para ser responsável pela proteção de dados em sua organização (como um gerenciador de dados), mesmo que uma nomeação obrigatória de DPO não seja necessária. No entanto, as PMEs podem não ter capacidade para fazer esta nomeação, por falta de recursos. Nesse caso, vale a pena terceirizar um especialista em proteção de dados jurídicos para garantir que todos conheçam suas responsabilidades.
Reavaliar consentimentos
O RGPD do Reino Unido estabelece um alto padrão de consentimento. Deve ser explícito, dado livremente e inequívoco. Reveja os mecanismos de consentimento da sua organização. Em particular, certifique-se de que a aprovação exija uma ação afirmativa de “aceitação”. Isso proíbe caixas pré-marcadas como uma forma legítima de dar consentimento, uma vez que nenhuma indicação positiva pode ser fornecida. É aconselhável manter o consentimento separado dos outros T & Cs e não deve ser uma pré-condição para se inscrever em um serviço. Você deve notificar as pessoas sobre seu direito de retirar o consentimento, oferecendo-lhes maneiras fáceis de fazer isso a qualquer momento.
Se seus mecanismos de consentimento existentes estiverem em conformidade com o RGPD do Reino Unido, você não precisa necessariamente de um novo consentimento, mas analise e considere se um novo consentimento é apropriado, em particular se houver um lapso de tempo significativo ou se houver a possibilidade de que o propósito ou escopo do tratamento para o qual o consentimento foi obtido mudou de alguma forma.
> Veja também: GDPR: campanhas da empresa que estão ‘na marca’
O direito de ser esquecido
Uma regra do RGPD do Reino Unido é o direito de que os dados pessoais sejam apagados (“o direito de ser esquecido”). Embora o direito só se aplique em certas circunstâncias, sua organização deve ter a capacidade e os procedimentos para atender a essas solicitações. Você terá um mês para responder de forma substantiva.
Solicitações de acesso de assunto
Todo indivíduo tem direito de acesso aos seus dados e você precisará de procedimentos adequados para lidar com as solicitações de acesso por assunto. No ambiente de trabalho, as solicitações de acesso são frequentemente feitas no contexto de disputas ou reclamações em tribunal. As solicitações são cada vez mais feitas por clientes individuais que estão insatisfeitos com o atendimento ao cliente. Um indivíduo pode realmente desejar ver quais dados pessoais estão sendo processados e se são precisos. Outros fazem solicitações devido ao tempo, esforço e despesa que podem causar e para chegar a um acordo. Independentemente das motivações, seja útil, responda substantivamente dentro de um mês (em oposição aos 30 dias sob a legislação antiga) e forneça os dados em um formato legível por máquina. De acordo com o RGPD do Reino Unido, você não tem permissão para cobrar taxas, exceto em circunstâncias limitadas.
Respondendo a violações de dados
É essencial que os funcionários sejam totalmente treinados e equipados para entender e reconhecer o que constitui uma violação de dados. Seu gerente de dados ou oficial de proteção de dados precisará de treinamento especializado para responder a uma violação de dados.
É muito provável que erros de funcionários causem ameaças à segurança em PMEs e você precisará adotar procedimentos internos e exigir o mesmo de processadores terceirizados para lidar com violações de dados. Inclui como identificar uma violação de dados, como ela será investigada e como realizar uma avaliação das implicações. Lembre-se de que certas violações devem ser notificadas ao comissário de informações dentro de 72 horas a partir de quando foram descobertas, e as pessoas afetadas devem ser informadas quando houver risco substancial de danos.
As pequenas empresas devem tomar medidas para garantir que seus dados sejam gerenciados com segurança e aquelas que cumprem o RGPD do Reino Unido não só evitarão multas e danos à reputação, mas também descobrirão que o manuseio de dados, os processos de conformidade e as relações contratuais são robustos, confiáveis e manterão seus negócios seguros por muitos anos.
Todo cuidado é tomado na preparação de nossos artigos. No entanto, nenhuma responsabilidade pode ser aceita para qualquer pessoa que atue apenas com base nas informações nelas contidas. Recomenda-se que você obtenha aconselhamento específico a respeito de casos individuais.
Todo cuidado é tomado na preparação de nossos artigos. No entanto, nenhuma responsabilidade pode ser aceita para qualquer pessoa que atue apenas com base nas informações nelas contidas. Recomenda-se que você obtenha aconselhamento específico a respeito de casos individuais.
Chris Cook é sócio e chefe de emprego e proteção de dados da SA Law
Leitura adicional
GDPR e Brexit – 5 etapas que sua pequena empresa pode realizar