O que é o UK GDPR? Explicação da relação com o GDPR e pontos chave a reter

Com a saída do Reino Unido da UE, o UK GDPR (Regulamento Geral de Proteção de Dados do Reino Unido) entrou em vigor no dia 1 de janeiro de 2021.

O GDPR é um regulamento da UE que estabelece as regras para o processamento e transferência de dados pessoais, e as empresas japonesas que oferecem serviços a clientes na UE precisam estar em conformidade com o GDPR. O UK GDPR é a versão britânica deste regulamento.

Neste artigo, explicaremos detalhadamente a relação entre o GDPR e o GDPR da UE, bem como informações importantes sobre o GDPR da UE. Conheça os pontos essenciais a considerar quando expandir negócios para a Europa, incluindo o Reino Unido, e as leis que devem ser antecipadamente compreendidas e aplicadas.

O UK GDPR implementado devido à saída do Reino Unido da UE

O Reino Unido deixou a União Europeia (EU) no dia 31 de janeiro de 2020, e em consequência disso, o UK GDPR foi implementado com base no GDPR da UE.

Com a saída da UE, o Reino Unido passou a ser considerado um “terceiro país” sob o GDPR da UE, e as empresas britânicas que fornecem serviços aos consumidores da UE devem cumprir tanto o GDPR do Reino Unido quanto o da UE.

Artigo relacionado: O que é o GDPR? Comparação com a lei de proteção de dados pessoais e pontos que as empresas japonesas devem ter em conta[ja]

Artigo relacionado: Pontos a considerar ao criar uma Política de Privacidade compatível com o GDPR[ja]

O que é o UK GDPR

O UK GDPR (Regulamento Geral de Proteção de Dados do Reino Unido) é uma norma que estabelece os requisitos para o processamento de dados pessoais e a sua transferência para fora do Reino Unido, bem como as normas e obrigações que devem ser cumpridas pelos responsáveis pelo processamento ou transferência.

A Lei de Proteção de Dados de 2018 (Data Protection Act 2018) atualizou e estabeleceu o quadro da Lei de Proteção de Dados de 1998 no Reino Unido. Posteriormente, tendo em conta a situação do Brexit, a legislação foi alterada com base no EU Withdrawal Act de 2018, e a partir de 1 de janeiro de 2021 (Reiwa 3), passou a ser conhecida como UK GDPR.

O UK GDPR aplica-se ao “processamento de dados pessoais” realizado no contexto das atividades de estabelecimentos de controladores ou processadores no Reino Unido. Além disso, o UK GDPR também se aplica ao processamento de dados pessoais por controladores ou processadores que não possuem estabelecimentos no Reino Unido, em determinadas circunstâncias.

Pontos essenciais a reter sobre o UK GDPR

Neste capítulo, abordaremos os seguintes dois pontos essenciais sobre o UK GDPR:

• Transferência de dados pessoais
• Nomeação de agentes e representantes

Transferência de dados pessoais

Quanto à transferência de dados entre o Japão e o Reino Unido, o lado japonês decidiu manter a designação feita à UE com base no Artigo 24 da Lei de Proteção de Informações Pessoais (que, antes da emenda pela Lei de Formação da Sociedade Digital, Artigo 50, em vigor desde 1 de abril de 2021 (Reiwa 4)), também aplicável ao Reino Unido após o Brexit.

Além disso, a transferência de dados pessoais entre o Reino Unido e a UE pode continuar a ocorrer de forma suave durante o período de transição.

Portanto, mesmo após o Brexit, a transferência de dados pessoais entre o Japão e o Reino Unido está assegurada.

Nomeação de agentes e representantes

As empresas britânicas que não possuem filiais ou escritórios na UE devem nomear um agente da UE e atualizar as notificações de proteção de dados conforme necessário.

O agente funcionará como um representante no caso de haver filiais ou escritórios.

Além disso, a legislação britânica exige que as empresas da UE que detêm dados pessoais nomeiem um representante no Reino Unido.

Assim, as empresas com base na UE precisam revisar e separar os seus registos para determinar se as informações que tratam estão sujeitas às regras do UK GDPR.

Empresas Japonesas Sujeitas ao UK GDPR

Existem dois casos em que o UK GDPR é aplicável:

1. Quando a empresa tem uma base operacional no Reino Unido;
2. Quando não possui uma base no Reino Unido, mas desenvolve negócios direcionados para o Reino Unido;

No segundo caso, o UK GDPR aplica-se em situações como:

• Quando um operador comercial no Japão lança um site de comércio eletrónico para o mercado global, incluindo a Europa;
• Quando se realiza uma campanha de marketing direcionada para o mercado europeu;
• Quando um operador comercial no Japão gera receitas a partir do mercado europeu;

Concretamente, aplicam-se os seguintes casos:

• Quando um operador comercial no Japão distribui uma aplicação de jogo para jogadores localizados no Reino Unido e recolhe nomes e histórico de compras dos jogadores;
• Quando um site de comércio eletrónico permite pagamentos em libras, tem informações em inglês e menciona entregas para o Reino Unido, e recolhe endereços, nomes e informações bancárias dos clientes;
• Quando um operador comercial no Japão gere nomes e endereços de e-mail para enviar newsletters a indivíduos localizados no Reino Unido;
• Quando um operador comercial no Japão obtém e analisa informações de localização de indivíduos através de uma aplicação no Reino Unido;
• Quando um operador comercial no Japão recolhe informações de cookies através de um website para analisar preferências pessoais e distribuir publicidade baseada em comportamento;
• Quando um operador comercial no Japão obtém e gere informações relacionadas com a saúde de indivíduos no Reino Unido através de dispositivos vestíveis (como smartwatches);

Abaixo está o fluxograma do âmbito de aplicação do UK GDPR.

Referência: Manual Prático do Regulamento Geral sobre a Proteção de Dados do Reino Unido (UK GDPR)[ja] | Organização Japonesa de Promoção do Comércio (JETRO), Departamento de Pesquisa no Exterior, Escritório de Londres

Três Riscos de Violação do UK GDPR

Neste capítulo, apresentamos três riscos associados à violação do UK GDPR (Regulamento Geral de Proteção de Dados do Reino Unido).

• Risco de ser sujeito a penalidades severas, incluindo multas avultadas, impostas pelo ICO;
• Risco de enfrentar reivindicações legais por compensação de danos por parte dos titulares dos dados e outros;
• Risco de perder a confiança no negócio devido a uma resposta inadequada à proteção de dados pessoais;

O ICO (Information Commissioner’s Office) é uma entidade independente do Reino Unido criada para proteger os direitos de informação. Se for detetada uma violação das regras do UK GDPR, a organização pode impor multas.

As multas podem ser substanciais; em 2019, a companhia aérea britânica British Airways foi multada em 183 milhões de libras (o equivalente a 1,5% da receita global anual da British Airways) por violações do GDPR.

Da mesma forma, a Marriott International, que opera hotéis renomados como o Marriott e o Ritz-Carlton, foi multada em 99 milhões de libras.

Uma vez que estas sanções são tornadas públicas, não só as multas são elevadas, mas também pode ocorrer uma depreciação do valor da marca. Restaurar uma marca corporativa que sofreu danos é extremamente difícil. Para evitar a depreciação do poder da marca, é essencial ter um cuidado redobrado no tratamento de dados pessoais.

Conclusão: É essencial acompanhar as tendências de alteração do UK GDPR

O UK GDPR (Regulamento Geral sobre a Proteção de Dados do Reino Unido) é uma das leis relativamente recentes que foi alterada a 1 de janeiro de 2021 (Reiwa 3), na sequência da saída do Reino Unido da UE.

Além disso, no Reino Unido são aplicadas duas legislações distintas: o UK GDPR, destinado ao mercado interno britânico, e o EU GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia), aplicável aos restantes países da UE.

Atualmente, continua a haver uma revisão multifacetada das regulamentações relativas à proteção de dados pessoais. Portanto, as empresas japonesas que já entraram nos mercados do Reino Unido e da UE devem manter-se atentas às futuras alterações do UK GDPR.

Violar o UK GDPR pode resultar não só em pesadas multas, mas também na deterioração da imagem corporativa. É crucial rever os sistemas de segurança da sua empresa, bem como atualizar-se sobre as alterações regulamentares e implementar as medidas necessárias.

Apresentação das Medidas Adotadas pelo Nosso Escritório

O Monolith Law Office é um escritório de advocacia com vasta experiência em IT, especialmente na interseção entre a Internet e o direito. Nos últimos anos, o negócio global tem-se expandido cada vez mais, e a necessidade de verificações legais por especialistas tem aumentado. O nosso escritório oferece soluções em assuntos de direito internacional.

Áreas de atuação do Monolith Law Office: Assuntos Internacionais e Negócios no Estrangeiro[ja]