Conformidade com o GDPR específica do Reino Unido: Um guia prático

Compreendendo o GDPR no Reino Unido pós-Brexit

Com o Reino Unido fora da União Europeia, as empresas devem reconhecer que, embora o GDPR tenha sido mantido no Reino Unido por meio da Lei de Proteção de Dados de 2018, nuances exigem atenção. A Lei mantém os direitos fundamentais dos indivíduos em relação aos seus dados pessoais, enfatizando transparência, responsabilização e segurança. As empresas de serviços financeiros devem adaptar suas práticas para se alinhar ao UK GDPR e regulamentos específicos do Reino Unido, garantindo que protejam efetivamente os dados dos clientes enquanto cumprem com os requisitos legais.

Para orientações detalhadas, as empresas podem consultar o site do Escritório do Comissário de Informação (ICO), que fornece recursos, ferramentas e suporte para ajudar as organizações a se conformarem com as leis de proteção de dados no Reino Unido.

Quais são os principais princípios do GDPR do Reino Unido?

O GDPR do Reino Unido é fundamentado em vários princípios-chave, incluindo:

• Legalidade, justiça e transparência: Os dados devem ser processados de forma legal e transparente.
• Limitação de propósito: Os dados devem ser coletados para fins especificados e legítimos, e não processados de maneira incompatível com esses fins.
• Minimização de dados: Apenas os dados necessários para o propósito pretendido devem ser coletados.
• Precisão: Os dados devem ser mantidos precisos e atualizados.
• Limitação de armazenamento: Os dados pessoais não devem ser retidos por mais tempo do que o necessário.
• Integridade e confidencialidade: Os dados devem ser processados de forma segura para proteger contra acessos não autorizados.

1. Legalidade, equidade e transparência

• Serviços Financeiros: Assegure o processamento transparente de dados, especialmente para obrigações de KYC e AML.
• Mercados/E-commerce/Economia de Gig: Informe claramente os clientes sobre como os dados são usados para recomendações e marketing.
• Mobilidade/Transporte: Aborde a transparência no processamento de dados de localização para otimização de serviços.

2. Limitação de propósito

• Serviços Financeiros: Os dados coletados para conformidade não podem ser reutilizados sem consentimento claro.
• Mercados/E-commerce/Economia de Gig: Limite o uso de dados a finalidades específicas e divulgadas, como marketing personalizado.
• Mobilidade/Transporte: Assegure que os dados de localização sejam utilizados exclusivamente para os serviços pretendidos (por exemplo, otimização de rotas).

3. Minimização e Precisão de Dados

• Em todos os setores, colete apenas os dados necessários e mantenha-os precisos para evitar riscos desnecessários.

4. Limitação de Armazenamento

• Implemente períodos de retenção adequados e exclua dados desatualizados prontamente.

5. Integridade e Confidencialidade

• Processamento seguro de dados, protegendo contra acessos não autorizados e violações.

Quais são os direitos dos indivíduos sob o GDPR do Reino Unido?

Os indivíduos têm vários direitos, incluindo:

• Direito de acesso: Os indivíduos podem solicitar acesso aos seus dados pessoais.
• Direito de retificação: Eles podem solicitar a correção de dados imprecisos.
• Direito de exclusão: Eles podem solicitar a exclusão de seus dados sob certas condições.
• Direito de limitar o processamento: Os indivíduos podem solicitar limitar o processamento de seus dados.
• Direito à portabilidade dos dados: Eles podem solicitar seus dados em um formato estruturado para transferir para outro serviço.

Direito de objeção: Os indivíduos podem se opor ao processamento de seus dados em certas circunstâncias.

Lista de verificação de conformidade passo a passo

1. Mapeamento de dados

Compreender quais dados pessoais sua empresa coleta, processa e armazena é o primeiro passo para a conformidade. Crie um inventário abrangente de dados, também conhecido como registro de atividades de processamento, que inclua todos os requisitos relevantes estabelecidos no Artigo 30 do GDPR do Reino Unido, como:

• Tipos de dados pessoais processados (por exemplo, nomes de clientes, endereços, detalhes financeiros);
• Finalidades para processamento de dados (por exemplo, gerenciamento de contas, detecção de fraudes);
• Períodos de retenção de dados;
• Categorias de titulares de dados (por exemplo, clientes, funcionários);
• Categorias de destinatários de dados (por exemplo, processadores)
• Descrição das medidas de segurança técnicas e organizacionais em vigor.

Atualize regularmente seu mapeamento de dados para refletir quaisquer mudanças nas atividades de processamento de dados.

Lista de verificação de conformidade setorial:

• Serviços Financeiros: Inclui dados de clientes e transações; identifica processadores de dados.
• Mercados/E-commerce: Mapeia interações com clientes, dados coletados para transações e marketing.
• Mobilidade/Transporte: Documenta fluxos de dados de localização e dados de usuários associados.

2. Gestão de base legal

Sob o UK GDPR e a Lei de Proteção de Dados do Reino Unido de 2018, documentar uma base legal válida para o processamento de dados pessoais em conformidade com o Artigo 6 (e Artigos 9 e 10, se o processamento envolver dados de categorias especiais ou de infração criminal) é essencial.

Se você considerar o consentimento como a base legal mais apropriada para a atividade de processamento, implemente processos para garantir:

• Os pedidos de consentimento são claros, concisos, facilmente compreensíveis e mantidos separados de outros termos e condições;
• O pedido de consentimento requer uma opção ativa de aceitação em vez de caixas pré-marcadas;
• O pedido de consentimento tem informações sobre sua empresa e quaisquer terceiros que dependem do consentimento;
• Os clientes podem fornecer ou retirar seu consentimento facilmente;
• A documentação de consentimento é mantida para demonstrar conformidade.

Revise regularmente as práticas de consentimento para garantir que estejam alinhadas aos requisitos legais.

Se sua empresa processa dados de categorias especiais ou de infração criminal, lembre-se de documentar as considerações dos requisitos do Artigo 9 ou 10 do UK GDPR e do Anexo 1 da Lei de Proteção de Dados do Reino Unido de 2018, quando relevante.

3. Avisos de privacidade

As empresas de serviços financeiros devem fornecer avisos de privacidade claros aos clientes, detalhando como seus dados pessoais serão utilizados. Assegure que seus avisos de privacidade incluam as informações obrigatórias exigidas nos Artigos 13 e 14 do GDPR do Reino Unido, como:

• A identidade do controlador de dados (sua empresa) e os dados de contato do responsável pela proteção de dados (DPO);
• As finalidades e bases legais para o processamento de dados (por exemplo, consentimento, contrato, obrigação legal);
• Tipos e fontes de dados pessoais;
• Destinatários de dados pessoais;
• Informações sobre períodos de retenção de dados e direitos dos titulares de dados (por exemplo, direito de retirar o consentimento e acessar seus dados).

Torne os avisos de privacidade prontamente acessíveis aos clientes, garantindo que entendam seus direitos.

4. Avaliações de impacto sobre proteção de dados (DPIAs)

Realize DPIAs para quaisquer novos projetos ou atividades de processamento que possam resultar em alto risco para os direitos e liberdades dos clientes. Este processo deve identificar riscos potenciais aos dados pessoais e delinear medidas para mitigar esses riscos. Documente seu processo e descobertas da DPIA.

5. Procedimentos de notificação de violações

Estabeleça procedimentos claros para relatar violações de dados. De acordo com o UK GDPR, os controladores devem:

• Notificar o Information Commissioner’s Office (ICO) dentro de 72 horas após tomar conhecimento da violação.
• Comunicar a violação a indivíduos afetados se isso representar um alto risco aos seus direitos e liberdades.

Assegurar que todos os funcionários sejam treinados para reconhecer e relatar violações de dados prontamente.

6. Gestão de direitos dos titulares de dados

Estabeleça processos para registrar, rastrear e responder prontamente a um pedido de titular de dados. Certifique-se de que seus funcionários sejam treinados sobre como facilitar os direitos dos clientes sob o GDPR do Reino Unido, que incluem:

• Direito de ser informado e acesso: Os clientes têm o direito de ser informados sobre o processamento de dados pessoais e podem solicitar cópias de seus dados pessoais.
• Direito de retificação: Os clientes podem solicitar correções de dados imprecisos.
• Direito de exclusão: Os clientes podem solicitar a exclusão de seus dados sob certas circunstâncias.
• Direito à portabilidade dos dados: Os clientes podem solicitar receber seus dados em um formato estruturado.

Certifique-se de que sua empresa seja diligente em realizar os direitos dos titulares de dados.

7. Treinamento e conscientização dos funcionários

Eduque os funcionários sobre conformidade com o UK GDPR e princípios de proteção de dados. Sessões de treinamento regulares devem abranger:

• A importância da proteção de dados.
• Como lidar com dados pessoais de forma segura.
• Procedimentos para relatar violações de dados e lidar com solicitações de clientes.

Considere implementar treinamento de indução e reciclagem anuais e treinamento baseado em funções. Promover uma cultura de proteção de dados em sua organização é vital para manter a conformidade.

8. Acordos de processamento de dados de terceiros

Se sua empresa de serviços financeiros trabalha com processadores de dados de terceiros, assegure-se de ter Acordos de Processamento de Dados (DPAs) em vigor. Esses acordos devem:

• Especificar os papéis e responsabilidades de ambas as partes em relação ao processamento de dados;
• Cobrir os principais detalhes sobre o processamento, como assunto, duração, natureza, tipos de dados e titulares de dados envolvidos;
• Delimitar as medidas de segurança que devem ser implementadas para proteger os dados pessoais.
• Incluir cláusulas sobre notificações de violação de dados e conformidade com as leis de proteção de dados aplicáveis.

Se sua empresa de serviços financeiros trabalha com processadores de dados de terceiros, assegure-se de ter Acordos de Processamento de Dados (DPAs) em vigor. Esses acordos devem:

• Especificar os papéis e responsabilidades de ambas as partes em relação ao processamento de dados;
• Cobrir os principais detalhes sobre o processamento, como assunto, duração, natureza, tipos de dados e titulares de dados envolvidos;
• Delimitar as medidas de segurança que devem ser implementadas para proteger os dados pessoais.
• Incluir cláusulas sobre notificações de violação de dados e conformidade com as leis de proteção de dados aplicáveis.

O que devo fazer em caso de uma violação de dados?

No caso de uma violação de dados, há várias etapas importantes a serem seguidas para gerenciar e mitigar a situação de forma eficaz. Aqui está um guia prático baseado em melhores práticas e diretrizes regulatórias:

1. Conter e avaliar a violação

• Contenção: Imediatamente tome medidas para conter a violação e evitar novas compromissos. Isso pode envolver desconectar sistemas afetados da rede, alterar senhas ou desativar contas comprometidas.
• Avaliação Inicial: Avalie quais dados foram comprometidos, a causa e o impacto da violação. Determine se a violação está em andamento ou se foi resolvida.

2. Avaliar risco e possível dano

• Identifique os indivíduos que podem ser afetados e os riscos potenciais que isso representa para eles, considerando a natureza dos dados e sua sensibilidade. Avalie as consequências potenciais, como roubo de identidade, perda financeira ou ameaças à privacidade de um indivíduo.

3. Notificar as autoridades relevantes (se necessário)

• Se você é um controlador sujeito ao UK GDPR, reportar a violação ao Escritório do Comissário de Informação (ICO) dentro de 72 horas se isso provavelmente representar um risco aos direitos e liberdades dos indivíduos.
• Se um relatório oportuno não for possível, documente o motivo do atraso e forneça o máximo de informações possível sobre a violação em seu relatório inicial.
• Se você decidir que a notificação ao ICO não é necessária, certifique-se de documentar o motivo por trás disso.

4. Notificar indivíduos afetados (se necessário)

• Se a violação representar um alto risco para os direitos e liberdades dos indivíduos, o controlador deve informá-los o mais rápido possível. A transparência permite que eles se protejam, como monitorar suas contas, alterar senhas ou estarem alerta a possíveis tentativas de phishing.
• Use uma linguagem clara e simples para explicar a violação, seu impacto e as etapas de proteção recomendadas. 
  

5. Documentar a violação

• Mantenha um registro interno para documentar todos os detalhes relacionados à violação, mesmo que a notificação não seja necessária. Registre quando e como a violação foi descoberta, dados afetados, ações de contenção e comunicações com indivíduos ou autoridades.
• Um registro completo apoia a análise de incidentes e melhora as práticas de segurança futuras.

6. Revisar e atualizar práticas de segurança

• Uma vez concluída a resposta imediata, analise a causa raiz da violação e tome medidas corretivas. Isso pode incluir restringir controles de acesso, fornecer treinamento adicional aos funcionários ou aprimorar salvaguardas técnicas.
• Revise e atualize regularmente as políticas e procedimentos de proteção de dados para prevenir violações futuras.

7. Aprender com o incidente

• Realize uma revisão pós-incidente para identificar fraquezas nas práticas de segurança e resposta a incidentes. Aproveite as lições aprendidas para melhorar a gestão de riscos, aumentar a conscientização sobre privacidade, refinar planos de resposta e fortalecer a postura geral de segurança de dados da empresa.

Dicas adicionais:

• Notifique seu fornecedor de seguros: Se você possui seguro contra cyber que cobre violações de dados, notifique seu fornecedor.
• Busque orientação legal: Violações de dados podem envolver indivíduos em várias jurisdições, portanto busque orientação legal para garantir conformidade regional.

Conclusão

A conformidade com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018 é mais do que uma obrigação regulatória para as empresas de serviços financeiros; é um compromisso de proteger os dados dos clientes e fomentar a confiança. Seguindo uma abordagem estruturada e passo a passo, sua organização pode gerenciar eficazmente os requisitos de proteção de dados, proteger as informações dos clientes e manter a conformidade.

Para mais orientações, as empresas podem consultar a orientação da autoridade relevante e melhores práticas sobre proteção e privacidade de dados, que oferecem valiosos insights para gerenciar dados pessoais de forma responsável na idade digital. A adoção dessas práticas ajudará a garantir que seus serviços financeiros continuem em conformidade e centrados no cliente em um ambiente regulatório em constante evolução.

O suporte da Veriff à conformidade do cliente

Como processadora de dados para serviços de verificação de identidade, a Veriff está dedicada a capacitar nossos clientes, os controladores de dados, a se alinhar aos princípios do GDPR. Aqui estão alguns elementos chave sobre o processamento de dados pessoais e as melhores práticas que a Veriff segue:

● Aviso de Privacidade: A Veriff fornece um detalhado Aviso de Privacidade explicando como lidamos com dados pessoais dentro de nossos serviços, apoiando os esforços de transparência de nossos clientes. No entanto, este Aviso não substitui a necessidade de os controladores publicarem sua própria documentação de transparência conforme exigido pelas leis aplicáveis.

● Retenção de dados definida: Dados pessoais coletados para fins de serviço são retidos de acordo com termos fixos estabelecidos em acordos com clientes e políticas internas, nunca mantidos indefinidamente.

● Medidas técnicas e organizacionais robustas: A Veriff emprega criptografia para dados em repouso e em trânsito. Nosso serviço é certificado sob ISO/IEC 27001:2022, SOC 2 Tipo II e Cyber Essentials, garantindo segurança de dados de alto nível. Descubra mais sobre nossas práticas de segurança na página de Segurança e Conformidade e noCentro de Confiança da Veriff.

● Avaliações de privacidade e equipe: Nossa equipe de Direito e Privacidade de Produtos trabalha com nosso oficial de proteção de dados para realizar avaliações de impacto sobre a proteção de dados, abordando proativamente os riscos em nossos produtos e serviços.

● Auditoria de GDPR do produto: Auditamos regularmente para confirmar que o serviço da Veriff está em conformidade com o GDPR, demonstrando nosso compromisso com a responsabilização e altos padrões de proteção de dados. Baixe o resumo da auditoria aqui.

Por favor, note que a Veriff não fornece aconselhamento jurídico. Este artigo é fornecido apenas para fins informativos. Você deve sempre discutir suas operações ou questões de privacidade e proteção de dados com um advogado qualificado ou especialistas em privacidade.

FAQ do UK GDPR

1. O que é o UK GDPR?
O UK GDPR é a versão do Regulamento Geral de Proteção de Dados do Reino Unido, promulgada por meio da Lei de Proteção de Dados do Reino Unido de 2018. Regula como os dados pessoais são coletados, processados, armazenados e compartilhados por empresas sujeitas ao UK GDPR, visando proporcionar aos indivíduos maior controle sobre seus dados pessoais e garantir robustas proteções de privacidade.

2. Quem está sujeito ao UK GDPR?
O UK GDPR se aplica a qualquer empresa, seja baseada no Reino Unido ou internacionalmente, que processe dados pessoais de indivíduos no Reino Unido, ofereça bens ou serviços a indivíduos no Reino Unido ou monitore seu comportamento. Isso inclui empresas, autoridades públicas e organizações sem fins lucrativos, especialmente aquelas em setores como serviços financeiros que possam lidar com dados pessoais sensíveis.

3. O que é considerado dado pessoal sob o UK GDPR?
Dado pessoal refere-se a qualquer informação relacionada a um indivíduo identificado ou identificável. Isso inclui nomes, números de identificação, dados de localização, endereços de e-mail e informações financeiras. Categorias especiais de dados pessoais, como origem racial ou étnica, opiniões políticas e dados de saúde, também estão sujeitos a requisitos mais rigorosos.