UK GDPR: As empresas no Reino Unido devem agora cumprir dois conjuntos de legislação

A Regulamentação Geral de Proteção de Dados da UE (GDPR), que entrou em vigor em 2018, exige que as organizações implementem medidas de proteção de dados quando oferecem bens e serviços ou monitoram o comportamento de indivíduos dentro da UE.

Entretanto, as regulamentações do GDPR do Reino Unido estão agora separadas das regulamentações do GDPR da UE, seguindo o acordo comercial que entrou em vigor em 1º de janeiro, o que significa que agora existem duas legislações de proteção de dados em vez de apenas uma; a GDPR do Reino Unido que cobre indivíduos no Reino Unido e a GDPR da UE para indivíduos na UE. As empresas que detêm ambos os tipos de dados, terão agora que aderir a cada uma das duas legislações separadas.

O Reino Unido é agora oficialmente considerado um “terceiro país” sob o GDPR da UE, o que significa que as empresas britânicas que servem os consumidores da UE precisarão cumprir tanto as medidas do GDPR do Reino Unido quanto as da UE.

Michael Begley, diretor administrativo da venuedirectory.com, que tem seguido a legislação atualizada, disse que muitas pessoas na indústria de eventos não estavam cientes das mudanças. “Estou em contato regular com locais, agências e planejadores em todo o Reino Unido e muitos não estão atualmente cientes do impacto da Brexit no GDPR do Reino Unido e no GDPR da UE, e das medidas que precisam agora tomar para garantir que seus negócios continuem a operar legalmente”, disse ele.

“Há algumas medidas simples e imediatas que as organizações devem tomar a fim de abordar os regulamentos de proteção de dados e assegurar que os eventos possam continuar uma vez que o mundo se abra novamente”. Para apoiar nossa indústria no caminho para melhores negócios, fiz uma parceria com o especialista em proteção de dados Arvi Virdee da Smartec para lançar uma série de webinars curtos e focados para guiá-los através deste desafio”.

Há duas ações que as organizações de reuniões e eventos agora precisam realizar, observou Begley. “Primeiro, as empresas britânicas que possuem dados para a UE precisam agora rever e atualizar seus conjuntos de dados existentes. Isto é para determinar que proporção são os dados da UE (e, portanto, sujeitos às regulamentações do PIBR da UE); quais são os dados do Reino Unido (sujeitos às regulamentações do PIBR do Reino Unido) e quais dados estão fora destas duas categorias, por exemplo, conjuntos de dados para aqueles sediados na América ou na Ásia.

“Em segundo lugar, as empresas britânicas precisam nomear um representante dentro da UE para lidar com quaisquer dúvidas. Estas poderiam ser consultas em torno de uma violação de dados ou um pedido de acesso a dados por parte do sujeito. Este representante deve residir em qualquer um dos 27 países da UE e, portanto, estar in situ para lidar com pedidos de indivíduos, empresas ou autoridades”.

As empresas britânicas precisam nomear um representante da UE somente se ainda não tiverem uma filial ou escritório na UE. Se tiverem, esta filial ou escritório atuaria como representante, embora os avisos de privacidade precisem ser atualizados para este fim.

A lei britânica também exige agora que as empresas da UE que possuem dados britânicos tenham um representante no Reino Unido, e as empresas sediadas na UE precisam rever e separar seus conjuntos de dados para determinar o que está agora sujeito às regulamentações do GDPR britânico.

Begley acrescentou: “Os profissionais de eventos devem agir agora, usando este momento atual em que as reuniões e eventos estão atualmente em espera, a fim de garantir que eles estejam totalmente preparados e tenham os elementos corretos em ordem para fazer negócios novamente”.