Como o Brexit afetará a conformidade com o GDPR?

Tem sido uma incógnita o impacto da Brexit na subjugação do Reino Unido ao Regulamento Geral de Proteção de Dados (GDPR) e outras leis de privacidade da UE desde o referendo sobre se a Grã-Bretanha deve deixar ou permanecer na União que foi a favor da campanha de 'deixar' em 2016.

No entanto, é importante destacar o fato o efeito de que a retirada do Reino Unido da UE será fortemente influenciado no tipo de acordo de saída, e se houver, é aprovado pelo parlamento britânico e reconhecido pela União Europeia.

Enquanto as empresas britânicas, assim como as que comercializam no Reino Unido, concentraram seus recursos em se tornarem compatíveis com a GDPR, a improbabilidade em relação ao impacto da regulamentação em longo prazo deixou o pessoal de TI e da privacidade preocupados com as possíveis estruturas legais que podem entrar em vigor. Essa incerteza aumenta pelo fato de que ninguém sabe quais serão os detalhes do eventual acordo de retirada.

Este artigo procura descrever os possíveis cenários que as empresas enfrentarão em relação à conformidade com o GDPR no Reino Unido pós-Brexit.

Como a Brexit afetará o relacionamento entre o Reino Unido e a UE?

Para compreender a implementação de uma lei abrangente da UE, como a GDPR no Reino Unido pós-Brexit, é prudente examinar como o Reino Unido e a UE se envolverão, uma vez que a Grã-Bretanha não será mais um membro da UE.

Em primeiro lugar, existe a possibilidade de o Reino Unido poder ingressar no bloco comercial do Espaço Econômico Europeu (EEE), em uma relação semelhante à que a Noruega e a Islândia têm com a UE. A EEE se aplicou ao GDPR em julho de 2018. Portanto, se o Reino Unido for membro do EEE, a utilização de informações pessoais na Grã-Bretanha ainda será supervisionada de acordo com os princípios do GDPR.

No entanto, considerando que um dos principais fatores por trás da campanha de 'deixar' a UE foi a autonomia dos diretores e regulamentos da União Europeia e da EEE, então existe a possibilidade de o Reino Unido não estar buscando a adesão à EEE. Por esse motivo, a conformidade com o GDPR nessas circunstâncias é incerta.

Supondo que o Reino Unido opte por ingressar na menos exigente Associação Europeia de Comércio Livre (EFTA) do que na EEE, isso significa que o GDPR não será diretamente aplicado no Reino Unido. A Suíça tem esse tipo de envolvimento com o resto da EEE. Nesse cenário, as leis de privacidade de dados e as obrigações de conformidade após o Brexit se tornarão ainda mais incertas.

Como a falta de acordo com a Brexit irá impactar a Proteção de Dados?

Caso o Reino Unido saia da União Europeia sem um acordo de retirada acordado, o GDPR deixará de ser obrigatório para a Grã-Bretanha imediatamente a partir do dia em que deixar formalmente a UE.

Embora o regulamento não seja vinculativo, é essencial que as empresas tenham em mente que qualquer empresa britânica que tenha funcionários na UE, ou que continuar comercializado ou coletando dados pessoais de residentes na UE, será obrigada a permanecer em conformidade com o GDPR no tratamento das informações pertencentes a esses indivíduos.

The most significant impact of a No-Deal Brexit will be felt in the transfer of EU residents' data out of the European Union. In the GDPR regime, member state companies are permitted to move personal data between the UK and other EU nations without being asked to oblige to additional legal mechanisms.

No entanto, uma relação “difícil” com a  Brexit eliminará esse direito, resultando em um cenário em que o Reino Unido precisará adotar e depender das Cláusulas Corporativas Vinculativas (BCRs) para lidar com as informações privadas de qualquer cidadão da UE dentro do Reino Unido.

Como a maioria das empresas britânicas ainda não instituiu essas estruturas, a implicação é que as atividades de processamento de dados no Reino Unido estarão sujeitas a atrasos. Além disso, como o consentimento é aceito dos consumidores da UE para transferências de dados específicas, a situação é diferente quando se trata da transferência de informações pessoais pertencentes à funcionários.

Por esse motivo, as empresas que operam na Grã-Bretanha e no resto da União Europeia precisam começar a identificar estratégias através das quais possam facilitar a transferência de dados da equipe entre a UE e o Reino Unido.

No entanto, existe a possibilidade de a UE estender uma "decisão de adequação" à Grã-Bretanha após sua saída da União. Sob tais circunstâncias, os dados pessoais podem ser trocados livremente sem a necessidade de outros mecanismos legais entre a União e o país “adequado”, descrito como “Países Terceiros” no âmbito do GDPR.

Uma nação é considerada 'adequada' se a UE determinar que os regulamentos de proteção de informações da nação são suficientes para que não possam abusar ou enfraquecer as proteções legais desses dados no GDPR. Atualmente, os "países terceiros" são Canadá, Israel, Suíça, Japão e Argentina.

Visivelmente, os EUA não estão incluídos na lista de países "adequados". Este aspecto explica por que a transferência de dados para os EUA deve aderir a uma estrutura de transferência reconhecida, como o Privacy Shield ou um Data Processing Agreement (DPA) com termos ratificados pela UE.

Como o DPA do Reino Unido é quase semelhante ao GDPR, é provável uma eventual "decisão de adequação", embora possa demorar mais tempo para ser atingida. Essencialmente, o reconhecimento de um 'País Terceiro' exige uma proposta da Comissão Europeia, que é então aprovada pelos Estados membros por meio de votação.

Como um acordo Brexit afetará a proteção de dados?

Embora exista muita conjectura sobre como será o acordo final entre o Reino Unido e a União Europeia, o rascunho atual da Grã-Bretanha fornece algumas ideias sobre o que o país está buscando, bem como o que pode acontecer com relação à proteção de dados.

O acordo de retirada proposto descreve uma fase de transição que termina em 31 de dezembro de 2020. Durante esse período, como leis da UE, inclusive o GDPR, permanecem em vigor. Neste contexto, um UE está desabilitado para sujeitar os dados britânicos usados na União a regulamentos existentes, apesar da saída do Reino Unido. Especificamente, o GDPR aplica-se às informações pessoais processadas antes ou durante uma fase de transição.

Essencialmente, o Reino Unido poderá apresentar e examinar possíveis políticas e leis de dados pessoais, incluindo acordos de transferência com os EUA e o Canadá ao longo da fase de transição. No entanto, esses tipos de leis podem não ser aplicáveis até que o período de transição seja concluído.

Além disso, durante a fase de transição, a União Europeia explorará a adequação da "decisão de adequação" para o Reino Unido. Caso a UE não faça uma determinação favorável para o Reino Unido em relação a esse assunto, a Grã-Bretanha terá a liberdade de elaborar nova legislação de processamento de dados pessoais que diferir do GDPR no final do período de transição.

Por fim, é vital levar em consideração o fato de que não há garantias sobre um acordo entre a UE e a Grã-Bretanha, muito menos esse projeto sendo aprovado pelo legislador do Reino Unido. Como tal, ainda não está claro se esses termos serão implementados.

Declaração de encerramento

Até agora, um acordo de retirada mutuamente vinculativo entre o Reino Unido e a UE ainda está para ser alcançado. Como tal, a aplicação a longo prazo do GDPR na Grã-Bretanha permanece incerta. Continuaremos a seguir os procedimentos com cuidado e a fornecer atualizações sobre possíveis consequências para as obrigações de proteção de dados do Reino Unido.