O governo do Reino Unido está a caminho de reformar o cenário de proteção de dados do Reino Unido. Sua consulta de 150 páginas, encerrada em novembro de 2021, propõe ideias que reduziriam os encargos para as empresas, mas ao mesmo tempo diluiriam o princípio da responsabilidade.
O objetivo do governo, de reduzir as barreiras à inovação, foi bem recebido por muitas empresas, mas outras partes interessadas também reconhecem como o regime proposto reduziria a proteção concedida aos indivíduos.
Algumas das propostas são cosméticas, mas outras, se adotadas, mudariam a legislação de proteção de dados do Reino Unido de forma mais radical.
Por exemplo, as sugestões para substituir a Avaliação de Impacto de Proteção de Dados (DPIA) e o registro central de processamento, com requisitos mais gerais para identificar e minimizar os riscos de proteção de dados, afastariam o Reino Unido do GDPR e de seus equivalentes europeus.
Com o objetivo final de facilitar a IA, as propostas também removeriam o direito do Artigo 22 do GDPR do Reino Unido de não estar sujeito a uma decisão baseada apenas no processamento automatizado.
As propostas também cobrariam uma taxa sobre a Solicitação de Acesso do Sujeito, alinhariam o regime de aplicação dos Regulamentos de Privacidade e Comunicações Eletrônicas com o GDPR do Reino Unido e a Lei de Proteção de Dados e fariam alterações no modelo de governança da ICO que afetariam sua independência.
O governo diz que as organizações se beneficiarão de serem obrigadas a desenvolver e implementar um programa de gerenciamento de privacidade baseado em risco.
É importante ressaltar que as propostas também REMOVERIAM o papel do DPO, a ser substituído por um indivíduo adequado responsável pelo programa de gerenciamento de privacidade.
As propostas não discutem representantes europeus. No entanto, entendemos que nada mudaria para as empresas do Reino Unido que oferecem bens ou serviços a indivíduos no EEE; ou monitorar o comportamento de indivíduos no EEE, pois eles ainda precisariam cumprir o GDPR da UE em relação ao seu processamento.
O que está sendo proposto
O capítulo 2.2 do documento de consulta do governo Data: New Direction inclui as propostas de reforma da estrutura de prestação de contas.
O programa de gerenciamento de privacidade abrangeria:
“
I. As funções e responsabilidades dentro da organização em relação à proteção de dados pessoais, incluindo quem é designado como o(s) responsável(is) pelo programa de gerenciamento de privacidade e supervisionar a conformidade da proteção de dados da organização. O(s) indivíduo(s) designado(s) também será(ão) responsável(is) por representar a organização perante o ICO e os titulares dos dados, quando necessário. A legislação não prescreveria os requisitos específicos necessários para a(s) função(ões) e uma organização teria poder discricionário sobre as nomeações, inclusive sendo capaz de determinar as habilidades, qualificações e posição apropriadas necessárias para a(s) função(ões), levando em consideração o volume e sensibilidade das informações pessoais sob seu controle, e o(s) tipo(s) de processamento de dados que realiza.
II. Evidência de que a supervisão e o apoio da alta administração e os mecanismos apropriados de comunicação à alta administração estão em vigor e como a organização garante que sua equipe entenda as principais obrigações, políticas e processos de proteção de dados.
III. Medidas que auxiliam o(s) indivíduo(s) responsável(is) designado(s) a estruturar um programa de gerenciamento de privacidade apropriado e demonstram que a organização está em conformidade com a legislação de proteção de dados.”
É bastante estranho que apenas quando a função de DPO foi profissionalizada com muitas oportunidades de treinamento e órgãos de apoio apropriados, o Reino Unido ache que essa função não precisa ser incluída como um requisito legal.
No entanto, qualquer DPO trabalhando neste campo reconhecerá as tarefas acima como basicamente as mesmas pelas quais são responsáveis atualmente. Então, por que a mudança?
O governo do Reino Unido diz que os requisitos atuais não conduzem necessariamente os resultados pretendidos da legislação: ‘Algumas organizações podem ter dificuldades para nomear um indivíduo com as habilidades necessárias e que seja suficientemente independente de outras funções, especialmente no caso de organizações menores.’
Reconhece-se, no entanto, que algumas organizações ainda podem optar por designar um indivíduo para desempenhar uma função semelhante à de um Encarregado de Proteção de Dados, a fim de monitorar e avaliar de forma independente a conformidade da proteção de dados da organização. No entanto, isso precisaria ser além do “indivíduo responsável”.
O governo está agora analisando as cerca de 3.000 respostas que recebeu à consulta. Sua resposta deve ser publicada nesta primavera, e um Livro Branco é esperado ainda este ano.
Embora nem todas as propostas sejam adotadas, é claro que o Reino Unido está agora em um caminho pós-Brexit para divergir do GDPR. Recentemente, o governo anunciou um ‘Brexit Freedoms Bill’ projetado para encerrar o status especial da lei da UE e garantir que ele possa ser mais facilmente alterado ou removido, e emitiu um documento de política intitulado ‘The Benefits of Brexit’. A proteção de dados é um dos resultados do Brexit que o governo deseja mostrar como “mudança real”.
Embora as empresas possam apoiar amplamente os esforços para reduzir a burocracia, resta saber como essas mudanças afetarão a adequação do Reino Unido à UE para transferências de dados – um aspecto muito importante para empresas grandes e pequenas. O documento de consulta – surpreendentemente – não toca neste ponto.
Consulte aqui o documento de consulta.
Tradução livre.
Fonte: EDPO. Leia matéria completa.