Pesquisa de site

Proteção de dados pós-Brexit: a Lei de Proteção de Dados do Reino Unido de 2018

Em 2016, o Reino Unido (Reino Unido) votou pela saída da União Europeia (UE), comumente chamada de "Brexit". " Esta decisão teve várias implicações para as leis de segurança cibernética, considerando que as leis existentes da UE não se aplicariam mais ao Reino Unido após o Brexit.

A Lei de Proteção de Dados do Reino Unido de 2018 (DPA 2018) foi implementada para estabelecer regulamentos de segurança cibernética para o estado recém-independente. Compreendia regras relativas ao uso de dados, manuseio responsável de dados e proteção dos direitos individuais sobre seus dados.

Saiba como o UpGuard pode ajudar sua organização a proteger seus dados e monitorar sua postura de segurança cibernética >

O que é a Lei de Proteção de Dados do Reino Unido de 2018?

O DPA 2018 é uma lei do Reino Unido que regula como os dados pessoais são coletados, processados e armazenados no Reino Unido. O governo do Reino Unido o aprovou para fornecer regulamentos de segurança cibernética no Reino Unido pós-Brexit. Ele incorpora a maior parte do Regulamento Geral de Proteção de Dados da UE (GDPR), uma lei de segurança cibernética da UE que o Reino Unido seguiu enquanto fazia parte da união. O GDPR da UE forneceu um esboço geral que o Reino Unido adaptou às suas necessidades específicas.

O DPA 2018 dá importância aos direitos dos indivíduos e seus dados pessoais, ao mesmo tempo em que estabelece diretrizes para as organizações sobre o manuseio e a proteção de dados. Além disso, contém disposições explicitamente adaptadas ao Reino Unido, como regulamentos para processamento de dados relacionados à aplicação da lei e segurança nacional.

Em resumo, o DPA 2018 cumpre três objetivos principais para o Reino Unido:

  1. Permite que o Reino Unido adote formalmente o GDPR da UE em seu processo legislativo nacional
  2. Ele dá ao Reino Unido autoridade para alterar e isentar partes do GDPR da UE que podem ou não se aplicar ao Reino Unido
  3. Estende a regulamentação de proteção de dados do Reino Unido a novas áreas não incluídas inicialmente no GDPR da UE

Princípios de proteção de dados

Uma parte significativa do DPA 2018 são os princípios de proteção de dados utilizados em toda a legislação. Cada seção inclui esses princípios de proteção de dados e sua aplicação a entidades específicas.

  1. Legalidade, justiça e transparência: O processamento de dados pessoais deve ser obtido legal e legalmente no melhor interesse do titular dos dados, e as partes devem comunicar o que, como e por que você processa dados aos titulares dos dados.
  2. Limitação da finalidade: O tratamento de dados pessoais deve ser utilizado apenas para a finalidade inicialmente pretendida e nunca reutilizada para outras finalidades.
  3. Minimização de dados: Indivíduos ou organizações não coletarão mais dados pessoais do que o necessário para seus serviços.
  4. Exatidão: Os dados pessoais tratados devem estar corretos e atualizados, devendo ser tomadas medidas razoáveis para o garantir.
  5. Limitações de armazenamento: Os dados pessoais não devem ser armazenados quando não forem mais usados para a finalidade original e os processos devem ser implementados para destruir os dados com segurança.
  6. Integridade e Confidencialidade: Os dados pessoais devem estar corretos e não podem ser manipulados, e o tratamento deve ser feito apenas por pessoas com acesso aos dados.
  7. Responsabilidade: Os controladores e processadores de dados devem ser responsabilizados e responsáveis pelo processamento de seus dados, priorizando a conformidade com o DPA 2018.

Componentes-chave

O DPA 2018 contém sete secções principais. Nem todos se aplicam a todas as organizações, mas as empresas devem revisar e entender cada seção para manter a conformidade.

  • Parte 1: Visão geral do DPA: A seção introdutória descreve o objetivo e o tópico principal do DPA 2018, que trata da proteção de dados pessoais. Inclui definições de termos usados na lei, incluindo a definição de "dados pessoais", "processamento", "titular dos dados" e várias outras entidades descritas ao longo da legislação.
  • Parte 2: Processamento Geral: Esta seção inclui dois propósitos principais. Primeiro, complementa o GDPR da UE adicionando seções originalmente deixadas em aberto para interpretação e implementação dos estados membros da UE. Em segundo lugar, aplica os requisitos do GDPR da UE a situações gerais específicas de processamento. Esta seção contém mais definições e regulamentos sobre proteção de dados para processamento de dados sob o GDPR da UE e processamento de dados que o GDPR da UE não cobre.
  • Parte 3: Processamento de aplicação da lei: Esta seção do DPA 2018 se aplica a qualquer processamento de dados em um ambiente de aplicação da lei, utilizando os seis princípios de proteção de dados descritos acima. Inclui também os direitos do titular dos dados e as funções e obrigações dos responsáveis pelo tratamento e dos subcontratantes de aplicação da lei.
  • Parte 4: Processamento de Serviços de Inteligência: A Seção 4 se aplica especificamente aos serviços de inteligência, incluindo o Serviço de Segurança, o Serviço Secreto de Inteligência e a sede de Comunicação do Governo. Mais uma vez, os seis princípios para proteção de dados são explicitamente delineados para o processamento de dados dentro de um ambiente de serviços de inteligência, juntamente com os direitos dos titulares dos dados. Exclusivas desta seção são as isenções dos princípios de proteção de dados, principalmente para situações de salvaguarda da segurança nacional.
  • Parte 5: O Comissário de Informação: Esta seção do DPA 2018 descreve o papel do Comissário de Informação, a autoridade supervisora nacional do Reino Unido para regulamentação e supervisão da lei de proteção de dados, e lida com a aplicação e investigações de não conformidade.
  • Parte 6: Aplicação: Esta seção explica o processo de aplicação do DPA 2018 por meio de informações, avaliação e avisos de execução. Ele também fornece penalidades, recursos, reclamações e diretrizes de recursos judiciais.
  • Parte 7: Disposição Suplementar e Final: A seção final descreve os regulamentos sob a lei, mudanças na convenção de proteção de dados e outras situações específicas que lidam com o processamento de dados pessoais. Termina com as datas em que o ato entra em vigor e a extensão do ato.

O impacto do Brexit na segurança cibernética

O Brexit impactou significativamente a segurança cibernética em toda a União Europeia. Quando o Reino Unido saiu da união, tornou-se um "terceiro país", um nome dado a todos os países fora do Espaço Econômico Europeu (EEE). Devido a essa saída, eles não eram mais obrigados a cumprir as leis de segurança cibernética existentes na UE.

Regulamento Geral de Proteção de Dados da UE (GDPR)

Antes do Brexit, o Reino Unido operava sob o Regulamento Geral de Proteção de Dados (GDPR). Aprovado em 2016, o GDPR se concentra na privacidade de dados, segurança cibernética e gerenciamento de violações. Todos os estados membros da UE foram obrigados a ter conformidade com o GDPR. O regulamento visa padronizar a proteção de dados, proteger dados pessoais e privacidade e simplificar os processos de regulamentação para organizações internacionais.

Quando o Reino Unido era membro da União Europeia, o GDPR era diretamente aplicável, negando a necessidade de legislação específica de segurança cibernética do Reino Unido. No entanto, depois de votar para deixar a UE e durante o período de transição do Brexit, o Reino Unido assinou vários acordos de retirada com a UE, incluindo um requisito de segurança cibernética. O Acordo de Saída da UE especificou que o Reino Unido assegurou um nível de proteção de dados essencialmente equivalente ao previsto no direito da União.

O Regulamento Geral de Proteção de Dados do Reino Unido (GDPR do Reino Unido)

Juntamente com o DPA 2018, o Regulamento Geral de Proteção de Dados do Reino Unido (GDPR do Reino Unido) foi sancionado. O GDPR do Reino Unido e o DPA 2018 compreendem o cenário de segurança cibernética do Reino Unido no final do período de transição.

Pense no GDPR do Reino Unido como uma ampla estrutura para proteção de dados em todo o Reino Unido. Ele foi modelado após o GDPR da UE e forneceu uma lei doméstica para regulamentos de segurança cibernética para o Reino Unido pós-Brexit. O DPA 2018 expande essa estrutura com detalhes e exceções específicos do Reino Unido. Juntos, ambos são essenciais para a proteção abrangente de dados em todo o Reino Unido.

Quem deve cumprir a Lei de Proteção de Dados do Reino Unido de 2018?

O DPA 2018 aplica-se amplamente a todos os setores da indústria no Reino Unido. A estipulação básica é se sua organização lida com dados pessoais, incluindo obtenção, processamento, armazenamento ou apagamento.

Isso inclui controladores e processadores de dados, mas também qualquer empresa ou empresa do Reino Unido (pública e privada) que use dados pessoais. Os indivíduos que processam dados pessoais, seja de forma independente ou em uma função específica dentro de uma empresa, também devem cumprir o DPA 2018.

Penalidades por não conformidade

Há uma variedade de penalidades por não conformidade com o DPA 2018, que vão desde multas até ofensas criminais. Isso inclui situações em que os indivíduos sofreram danos devido ao não cumprimento, resultando em ordens de conformidade e compensação.

As penalidades monetárias incluem multas de nível inferior de até £ 10 milhões ou multas de nível superior de até £ 17,5 milhões. O Information Commissioner's Office (ICO), a principal autoridade de proteção de dados no Reino Unido, também tem o poder de garantir a conformidade e lidar com a não conformidade por meio de vários avisos que permitem realizar inspeções, auditorias ou solicitar informações.

As infrações criminais descritas no DPA 2018 incluem

  • Obtenção ilícita de dados pessoais
  • Reidentificando dados anônimos
  • Alterando registros para evitar a divulgação
  • Destruição ou falsificação de dados
  • Declarações falsas em resposta a Avisos Informativos
  • Proibição da obrigação de apresentar registos pertinentes

Essas infrações de alto nível resultam em pesadas multas determinadas pelos tribunais.

Como cumprir o UK-GDPR & DPA 2018

O GDPR do Reino Unido exige que as organizações sigam princípios como legalidade, transparência, minimização de dados, precisão e confidencialidade. Os titulares dos dados devem ser informados sobre seus direitos, incluindo acesso, retificação, exclusão e transferência. As medidas de segurança devem proteger os dados pessoais e as avaliações de impacto devem ser realizadas para o processamento de alto risco. As violações de dados devem ser relatadas ao ICO e aos indivíduos afetados dentro de 72 horas.


Para cumprir o DPA 2018, as organizações precisam de um motivo válido para lidar com dados pessoais, para consentimento, contratos, requisitos legais e interesses vitais, públicos ou legítimos. A lei tem diretrizes específicas para dados de aplicação da lei, segurança e inteligência, portanto, essas entidades devem cumprir seus requisitos. Além disso, as organizações devem respeitar a idade de consentimento digital (13 no Reino Unido), nomear um DPO para entidades públicas e ter auditorias, treinamento e políticas para manter a conformidade.

O impacto da Lei de Proteção de Dados do Reino Unido de 2018

O DPA 2018 reformulou o cenário de segurança cibernética no Reino Unido, especialmente em torno da proteção de dados. Seu impacto duradouro enfatiza os direitos individuais, a responsabilidade organizacional e o alinhamento da legislação com as leis de segurança cibernética existentes.

Modernização das leis de proteção de dados do Reino Unido

Antes do DPA 2018, o Reino Unido operava sob a Lei de Proteção de Dados de 1998. Houve avanços tecnológicos substanciais entre então e agora, e o DPA 2018 altera e substitui esta lei anterior. O DPA 2018 atualizou a legislação, especialmente no que diz respeito à forma como os dados pessoais são usados e tratados.

A Comissão Europeia até adotou uma decisão de adequação do Reino Unido após o Brexit, considerando as leis de proteção de dados do Reino Unido equivalentes às da UE e permitindo o fluxo de dados entre as duas. Isso elimina a necessidade de SCCs (cláusulas contratuais padrão).

Direitos individuais aprimorados

Os indivíduos recebem direitos mais robustos sob o DPA 2018. Isso expande os direitos descritos no GDPR da UE, que abrange acesso, exclusão e portabilidade. O DPA 2018 deu aos titulares dos dados maior poder e controle sobre seus dados.

Penalidades mais duras para violações

>

O DPA 2018 trouxe penalidades mais rígidas por violação da lei de proteção de dados, exigindo que as empresas cumpram constantemente esses regulamentos atualizados. A não conformidade resulta em multas pesadas, ações judiciais e ofensas criminais, dependendo da gravidade da violação.

Processamento de dados para aplicação da lei

A aplicação da lei foi impactada pela paixão do DPA 2018, que forneceu disposições sobre como eles processam dados pessoais. Um regime transparente de proteção de dados para qualquer processamento de dados relacionado à prevenção de crimes, investigações e segurança nacional está incluído.

Disposições relativas a categorias especiais de dados

Juntamente com os dados relacionados com a aplicação da lei, o DPA 2018 também estabeleceu disposições mais explícitas para categorias especiais de tratamento de dados. As organizações agora exigem níveis mais altos de proteção para dados pessoais (incluindo dados de saúde, genéticos e biométricos) e dados de condenação criminal em todos os seus procedimentos de processamento.

Responsabilidade e Governança

O DPA 2018 enfatiza explicitamente a responsabilidade. As organizações devem cumprir os regulamentos, mas também demonstrar sua conformidade de forma consistente. A maioria das empresas implementou avaliações de impacto de proteção de dados, contratou diretores de proteção de dados (DPOs) e melhorou suas políticas internas de proteção de dados e regras corporativas em torno das atividades de processamento de dados.

Impacto na percepção pública

Já havia um discurso público substancial sobre o Brexit e as implicações resultantes na legislação existente e nova em todo o Reino Unido. A aprovação do DPA 2018 ajudou a fornecer ao público informações sobre seus direitos de proteção de dados, incluindo o que as organizações precisavam cumprir caso obtivessem e usassem seus dados.

Preparação para o Brexit

Embora esse não fosse o objetivo principal do DPA 2018, a aprovação dessa legislação preparou o Reino Unido para o Brexit, garantindo uma transição suave da legislação da UE para a sua própria. Foi uma das muitas leis escritas e assinadas durante o período de transição do Brexit, fornecendo estruturas para operações e regulamentos quando o Reino Unido não fazia mais parte da UE.

O DPA 2018 está ao lado de uma variedade de outras leis europeias de segurança cibernética que protegem dados pessoais, fornecem conformidade com as melhores práticas e garantem a segurança dos dispositivos conectados. O DPA 2018 foi promulgado em um momento único, quando o Reino Unido estava saindo da UE. No entanto, ainda descreve os regulamentos necessários sobre o uso de dados pessoais que enfatizam os direitos dos indivíduos.

Se sua organização lida com dados pessoais e você deseja manter a conformidade com o DPA 2018, podemos ajudar. O UpGuard BreachSight ajuda sua organização a entender os riscos que afetam sua postura de segurança externa e que seus ativos são constantemente monitorados e protegidos, incluindo dados pessoais. Monitoramento contínuo, proteção contra vazamento de dados, perfis de segurança compartilhados e relatórios de insights são apenas alguns destaques desta plataforma tudo-em-um.

Confira um tour do produto abaixo!