icon-utilities-bar Conecte-seicon-utilities-bar Ajudaicon-utilities-bar Seja verificado

NESTA PÁGINA

novembro 20, 2024

Stella Goldman Assessora Jurídica Líder de Privacidade e Produtos

Fique por dentro das notícias da Veriff. Assine o boletim informativo


Artigo IDV

Conformidade com o GDPR específico do Reino Unido: Um guia prático

Navegar pela proteção de dados no setor de serviços financeiros é crucial, especialmente com as regulamentações pós-Brexit do Reino Unido. Nosso guia oferece uma lista de verificação passo a passo para ajudar as empresas a cumprir com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.

À medida que o setor de serviços financeiros navega pelas complexidades da proteção de dados, entender o Regulamento Geral sobre a Proteção de Dados (GDPR) e sua aplicação no Reino Unido é crucial. Após o Brexit, o Reino Unido implementou seu próprio regime de proteção de dados através da Lei de Proteção de Dados do Reino Unido de 2018, que espelha os princípios do GDPR enquanto atende necessidades específicas do Reino Unido. Este guia visa fornecer às empresas de serviços financeiros uma lista de verificação passo a passo para garantir a conformidade com o GDPR do Reino Unido e a Lei de Proteção de Dados do Reino Unido de 2018.

Entendendo o GDPR no Reino Unido após o Brexit

Com o Reino Unido agora fora da União Europeia, as empresas devem reconhecer que, embora o GDPR tenha sido mantido no Reino Unido através da Lei de Proteção de Dados de 2018, nuances exigem atenção. A Lei mantém os direitos fundamentais dos indivíduos em relação aos seus dados pessoais, enfatizando a transparência, a responsabilidade e a segurança. As empresas de serviços financeiros devem adaptar suas práticas para alinhar-se com o GDPR do Reino Unido e regulamentações específicas do Reino Unido, garantindo que protejam os dados dos clientes de forma eficaz enquanto cumprem com requisitos legais.

Para orientações detalhadas, as empresas podem consultar o site do Escritório do Comissário de Informação (ICO), que fornece recursos, ferramentas e suporte para ajudar as organizações a cumprir com as leis de proteção de dados no Reino Unido.

Quais são os principais princípios do GDPR do Reino Unido?

O UK GDPR é fundamentado em vários princípios-chave, incluindo:

  • Legalidade, equidade e transparência: Os dados devem ser processados de forma legal e transparente.
  • Limitação de finalidade: Os dados devem ser coletados para fins específicos e legítimos, e não processados de forma incompatível com esses fins.
  • Minimização de dados: Apenas os dados necessários para a finalidade pretendida devem ser coletados.
  • Exatidão: Os dados devem ser mantidos precisos e atualizados.
  • Limitação de armazenamento: Os dados pessoais não devem ser retidos por mais tempo do que o necessário.
  • Integridade e confidencialidade: Os dados devem ser processados de forma segura para proteger contra acesso não autorizado.

1. Legalidade, equidade e transparência

  • Serviços Financeiros: Assegurar um processamento de dados transparente, especialmente para obrigações de KYC e PLD.
  • Marketplaces/E-commerce/Economia de Gig: Informar claramente os clientes sobre como os dados são usados para recomendações e marketing.
  • Mobilidade/Transporte: Abordar a transparência no processamento de dados de localização para otimização de serviços.

2. Limitação de finalidade

  • Serviços Financeiros: Os dados coletados para conformidade não podem ser reutilizados sem um consentimento claro.
  • Mercados/comércio eletrônico/economia colaborativa: Limitar o uso de dados a propósitos específicos e divulgados, como marketing personalizado.
  • Mobilidade/Transporte: Garantir que os dados de localização sejam usados exclusivamente para os serviços pretendidos (por exemplo, otimização de rotas).

3. Minimização de dados e exatidão

  • Em todos os setores, colete apenas os dados necessários e mantenha-os precisos para evitar riscos desnecessários.

4. Limitação de armazenamento

  • Implementar períodos de retenção apropriados e excluir dados desatualizados prontamente.

5. Integridade e confidencialidade

  • Processamento de dados seguro, protegendo contra acesso não autorizado e violações.

Quais direitos os indivíduos têm sob o GDPR do Reino Unido?

Os indivíduos têm vários direitos, incluindo:

  • Direito de acesso: Os indivíduos podem solicitar acesso aos seus dados pessoais.
  • Direito de retificação: Eles podem solicitar a correção de dados imprecisos.
  • Direito de eliminação: Eles podem solicitar a exclusão de seus dados sob certas condições.
  • Direito de restringir o processamento: Os indivíduos podem solicitar limitar o processamento de seus dados.
  • Direito à portabilidade dos dados: Eles podem solicitar seus dados em um formato estruturado para transferir a outro serviço.

Direito de objeção: Os indivíduos podem se opor ao processamento de seus dados em certas circunstâncias.

Lista de verificação de conformidade passo a passo

1. Mapeamento de dados

Entender quais dados pessoais sua empresa coleta, processa e armazena é o primeiro passo para a conformidade. Crie um inventário abrangente de dados, também conhecido como registro de atividades de processamento, que inclua todos os requisitos relevantes estabelecidos no Artigo 30 do UK GDPR, como:

  • Tipos de dados pessoais processados (por exemplo, nomes de clientes, endereços, detalhes financeiros);
  • Finalidades para o processamento de dados (por exemplo, gerenciamento de contas, detecção de fraudes);
  • Períodos de retenção de dados;
  • Categorias de sujeitos de dados (por exemplo, clientes, funcionários);
  • Categorias de destinatários de dados (por exemplo, processadores)
  • Descrição das medidas de segurança técnicas e organizacionais em vigor.

Atualize regularmente seu mapeamento de dados para refletir quaisquer mudanças nas atividades de processamento de dados.

Lista de verificação de conformidade do setor:

  • Serviços Financeiros: Inclua dados de clientes e transacionais; identifique processadores de dados.
  • Mercados/comércio eletrônico: Mapeie interações com clientes, dados coletados para transações e marketing.
  • Mobilidade/Transporte: Documente os fluxos de dados de localização e os dados do usuário associados.

2. Gestão de base legal

De acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados do Reino Unido de 2018, documentar uma base legal válida para o processamento de dados pessoais em conformidade com o Artigo 6 (e os Artigos 9 e 10, se o processamento envolver dados de categorias especiais ou de delitos) é essencial.

Se você considerar o consentimento como a base legal mais apropriada para a atividade de processamento, implemente processos para garantir:

  • Os pedidos de consentimento são claros, concisos, facilmente compreensíveis e mantidos separados de outros termos e condições;
  • O pedido de consentimento requer um opt-in ativo em vez de caixas pré-marcadas;
  • O pedido de consentimento contém informações sobre sua empresa e quaisquer terceiros que dependam do consentimento;
  • Os clientes podem fornecer ou revogar o consentimento facilmente;
  • A documentação do consentimento é mantida para demonstrar conformidade.

Revise regularmente as práticas de consentimento para garantir que estejam alinhadas com os requisitos legais.

Se sua empresa processar dados de categoria especial ou dados de delitos, lembre-se de documentar as considerações sobre os requisitos do Artigo 9 ou 10 do GDPR do Reino Unido e o Anexo 1 da Lei de Proteção de Dados do Reino Unido de 2018, quando relevante.

3. Avisos de privacidade

Empresas de serviços financeiros devem fornecer avisos de privacidade claros aos clientes, detalhando como seus dados pessoais serão utilizados. Certifique-se de que seus avisos de privacidade incluam as informações obrigatórias exigidas pelos Artigos 13 e 14 do UK GDPR, tais como:

  • A identidade do controlador de dados (sua empresa) e os detalhes de contato do responsável pela proteção de dados (DPO);
  • Os propósitos e as bases legais do processamento dos dados (por exemplo, consentimento, contrato, obrigação legal);
  • Tipos e fontes de dados pessoais;
  • Destinatários de dados pessoais;
  • Informações sobre os períodos de retenção de dados e os direitos dos titulares de dados (por exemplo, direito de revogar consentimento e acessar seus dados).

Torne os avisos de privacidade facilmente acessíveis aos clientes, garantindo que eles entendam seus direitos.

4. Avaliações de impacto sobre a proteção de dados (DPIAs)

Realize DPIAs para quaisquer novos projetos ou atividades de processamento que possam resultar em alto risco aos direitos e liberdades dos clientes. Esse processo deve identificar riscos potenciais aos dados pessoais e delinear medidas para mitigar esses riscos. Documente seu processo e descobertas da DPIA.

5. Procedimentos de notificação de violações

Estabeleça procedimentos claros para relatar violações de dados. De acordo com o GDPR do Reino Unido, os controladores devem:

  • Notificar o Escritório do Comissário de Informação (ICO) dentro de 72 horas após tomar conhecimento de uma violação.
  • Comunicar a violação aos indivíduos afetados se ela representar um alto risco aos seus direitos e liberdades.

Assegure-se de que todos os funcionários sejam treinados para reconhecer e relatar violações de dados prontamente.

6. Gestão dos direitos dos sujeitos de dados

Estabeleça processos para registrar, rastrear e responder de maneira eficiente e oportuna a um pedido de titular de dados. Garanta que seus funcionários sejam treinados sobre como facilitar os direitos dos clientes sob o GDPR do Reino Unido, que incluem:

  • Direito de ser informado e acessar: Os clientes têm o direito de serem informados sobre o processamento de dados pessoais e podem solicitar cópias de seus dados pessoais.
  • Direito à retificação: Os clientes podem solicitar correções de dados imprecisos.
  • Direito ao apagamento: Os clientes podem solicitar a exclusão de seus dados sob certas circunstâncias.
  • Direito à portabilidade dos dados: Os clientes podem solicitar receber seus dados em um formato estruturado.

Certifique-se de que sua empresa seja diligente na execução dos direitos dos titulares de dados.

7. Treinamento e conscientização dos funcionários

Eduque os funcionários sobre a conformidade com o GDPR do Reino Unido e os princípios de proteção de dados. Sessões de treinamento regulares devem abordar:

  • A importância da proteção de dados.
  • Como lidar com dados pessoais com segurança.
  • Procedimentos para relatar violações de dados e lidar com solicitações de clientes.

Considere implementar treinamento anual de indução e reciclagem e treinamento baseado em função. Promover uma cultura de proteção de dados dentro de sua organização é vital para manter a conformidade.

8. Acordos de processamento de dados de terceiros

Se sua empresa de serviços financeiros trabalha com processadores de dados de terceiros, certifique-se de ter Acordos de Processamento de Dados (DPAs) firmados. Esses acordos devem:

  • Especificar os papéis e responsabilidades de ambas as partes em relação ao processamento de dados;
  • Cobrir os detalhes principais sobre o processamento, como objeto, duração, natureza, tipos de dados e titulares de dados envolvidos;
  • Delimitar as medidas de segurança que devem ser implementadas para proteger os dados pessoais.
  • Incluir cláusulas sobre notificação de violação de dados e conformidade com as leis de proteção de dados aplicáveis.

Se sua empresa de serviços financeiros trabalha com processadores de dados de terceiros, certifique-se de ter Acordos de Processamento de Dados (DPAs) firmados. Esses acordos devem:

  • Especificar os papéis e responsabilidades de ambas as partes em relação ao processamento de dados;
  • Cobrir os detalhes principais sobre o processamento, como objeto, duração, natureza, tipos de dados e titulares de dados envolvidos;
  • Delimitar as medidas de segurança que devem ser implementadas para proteger os dados pessoais.
  • Incluir cláusulas sobre notificação de violação de dados e conformidade com as leis de proteção de dados aplicáveis.

É crucial incluir um acordo de processamento de dados em contratos com processadores de dados de terceiros para garantir a conformidade com o GDPR, incluindo sua aplicabilidade extraterritorial.

quote

Esses princípios formam a base do UK GDPR. Introduzidos no início da legislação, eles orientam todas as disposições subsequentes. Embora não sejam regras rígidas, representam os valores essenciais do quadro de proteção de dados, com apenas algumas exceções permitidas.

Aleksander Tsuiman Chefe de Produto Legal e Privacidade, Veriff

Explore como a Veriff protege seus dados

Mergulhe no Trust Center da Veriff para aprender como garantimos segurança, privacidade e conformidade em todos os nossos serviços — incluindo certificações, políticas e auditorias.

Visit Trust Centre icon button

O que devo fazer em caso de violação de dados?

Em caso de violação de dados, é necessário seguir algumas etapas importantes para gerenciar e mitigar a situação de forma eficaz. Aqui está um guia prático baseado em melhores práticas e diretrizes regulatórias:

1. Contenha e avalie a violação

  • Contenção: Tome imediatamente medidas para conter a violação e evitar mais comprometimentos. Isso pode envolver desconectar sistemas afetados da rede, alterar senhas ou desabilitar contas comprometidas.
  • Avaliação Inicial: Avalie quais dados foram comprometidos, a causa e o impacto da violação. Determine se a violação está em andamento ou se já foi resolvida.

2. Avalie o risco e o potencial de dano

  • Identifique os indivíduos que podem ser afetados e os potenciais riscos que isso representa para eles, considerando a natureza dos dados e sua sensibilidade. Avalie as potenciais consequências, como roubo de identidade, perda financeira ou ameaças à privacidade de um indivíduo.

3. Notifique as autoridades relevantes (se necessário)

  • Se você for um controlador sujeito ao GDPR do Reino Unido, relate a violação ao Escritório do Comissário de Informação (ICO) dentro de 72 horas, se isso representar um risco para os direitos e liberdades dos indivíduos.
  • Se um relatório oportuno não for possível, documente o motivo do atraso e forneça o máximo de informações possível sobre a violação em seu relatório inicial.
  • Se você decidir que a notificação ao ICO não é necessária, certifique-se de documentar o motivo para isso.

4. Notifique os indivíduos afetados (se necessário)

  • Se a violação representar um alto risco para os direitos e liberdades dos indivíduos, o controlador deve informá-los o mais rápido possível. A transparência permite que eles se protejam, como monitorar suas contas, alterar senhas ou estar atentos a possíveis tentativas de phishing.
  • Use linguagem clara e simples para explicar a violação, seu impacto e as etapas de proteção recomendadas.

5. Documente a violação

  • Mantenha um registro interno para documentar todos os detalhes relacionados à violação, mesmo que a notificação não seja exigida. Registre quando e como a violação foi descoberta, os dados afetados, as ações de contenção e as comunicações com indivíduos ou autoridades.
  • Um registro minucioso apoia a análise de incidentes e melhora as práticas de segurança futuras.

6. Revise e atualize as práticas de segurança

  • Uma vez que a resposta imediata seja concluída, analise a causa raiz da violação e tome medidas corretivas. Isso pode incluir o fechamento de controles de acesso, fornecer treinamento adicional aos funcionários ou melhorar as salvaguardas técnicas.
  • Revise e atualize regularmente as políticas e procedimentos de proteção de dados para evitar futuras violações.

7. Aprenda com o incidente

  • Realize uma revisão pós-incidente para identificar fraquezas nas práticas de segurança e resposta a incidentes. Aproveite as lições aprendidas para melhorar a gestão de riscos, aumentar a conscientização sobre a privacidade, refinar planos de resposta e fortalecer a postura geral de segurança dos dados da empresa.

Dicas adicionais:

  • Notifique seu provedor de seguros: Se você tiver um seguro cibernético que cobre violações de dados, notifique seu provedor.
  • Busque aconselhamento jurídico: Violações de dados podem envolver indivíduos em várias jurisdições, então busque orientação legal para garantir conformidade regional.

Conclusão

A conformidade com o UK GDPR e a Lei de Proteção de Dados do Reino Unido de 2018 é mais do que uma obrigação regulatória para empresas de serviços financeiros; é um compromisso de proteger os dados dos clientes e promover a confiança. Seguindo uma abordagem estruturada e passo a passo, sua organização pode gerenciar efetivamente os requisitos de proteção de dados, proteger informações dos clientes e manter a conformidade.

Para mais orientações, as empresas podem consultar a orientação da autoridade relevante e as melhores práticas sobre proteção de dados e privacidade, que oferecem insights valiosos para gerenciar dados pessoais de forma responsável na idade digital. A adoção dessas práticas ajudará a garantir que seus serviços financeiros permaneçam em conformidade e centrados no cliente em um ambiente regulatório em constante evolução.

Apoio da Veriff na conformidade dos clientes

Como processador de dados para serviços de verificação de identidade, a Veriff é dedicada a capacitar nossos clientes, os controladores de dados, a se alinharem com os princípios do GDPR. Aqui estão alguns elementos-chave sobre o processamento de dados pessoais e as melhores práticas que a Veriff segue:

● Aviso de Privacidade: A Veriff fornece um Aviso de Privacidade detalhado explicando como lidamos com dados pessoais dentro de nossos serviços, apoiando os esforços de transparência de nossos clientes. No entanto, este Aviso não substitui a necessidade de que os controladores publiquem sua própria documentação de transparência conforme exigido pelas leis aplicáveis.

● Retenção definida de dados: Os dados pessoais coletados para fins de serviço são retidos de acordo com termos fixos estabelecidos em acordos com clientes e políticas internas, nunca mantidos indefinidamente.

● Medidas técnicas e organizacionais robustas: A Veriff utiliza criptografia para dados em repouso e em trânsito. Nosso serviço é certificado sob ISO/IEC 27001:2022, SOC 2 Tipo II e Cyber Essentials, garantindo segurança de dados de alto nível. Descubra mais sobre nossas práticas de segurança na página de Segurança e Conformidade e no Centro de Confiança da Veriff.

● Avaliações de privacidade e equipe: Nossa equipe legal de Produto e Privacidade trabalha com nosso responsável pela proteção de dados para realizar avaliações de impacto sobre proteção de dados, abordando proativamente os riscos em nossos produtos e serviços.

● Auditoria de produto de GDPR: Realizamos auditorias regularmente para confirmar que o serviço da Veriff está em conformidade com o GDPR, demonstrando nosso compromisso com a responsabilidade e altos padrões de proteção de dados. Baixe o resumo da auditoria aqui.

Por favor, note que a Veriff não fornece aconselhamento jurídico. Este artigo é fornecido apenas para fins informativos. Você deve sempre discutir suas operações ou questões de privacidade e proteção de dados com um advogado qualificado ou especialistas em privacidade.

FAQ sobre o GDPR do Reino Unido

1. O que é o GDPR do Reino Unido?
O GDPR do Reino Unido é a versão do Reino Unido do Regulamento Geral sobre a Proteção de Dados, promulgado através da Lei de Proteção de Dados do Reino Unido de 2018. Ele regula como os dados pessoais são coletados, processados, armazenados e compartilhados por empresas sujeitas ao GDPR do Reino Unido, visando proporcionar aos indivíduos maior controle sobre seus dados pessoais e garantir robustas proteções de privacidade.

2. Quem está sujeito ao GDPR do Reino Unido?
O GDPR do Reino Unido se aplica a qualquer empresa, esteja ela com sede no Reino Unido ou internacionalmente, que processe dados pessoais de indivíduos no Reino Unido, ofereça bens ou serviços a indivíduos no Reino Unido ou monitore seu comportamento. Isso inclui empresas, autoridades públicas e ONGs, especialmente aquelas em setores como serviços financeiros que podem lidar com dados pessoais sensíveis.

3. O que é considerado dado pessoal sob o GDPR do Reino Unido?
Dados pessoais referem-se a qualquer informação relacionada a um indivíduo identificado ou identificável. Isso inclui nomes, números de identificação, dados de localização, endereços de e-mail e informações financeiras. Categorias especiais de dados pessoais, como origem racial ou étnica, opiniões políticas e dados de saúde, também estão sujeitas a requisitos mais rigorosos.

Explore como a Veriff protege seus dados

Mergulhe no Trust Center da Veriff para aprender como garantimos segurança, privacidade e conformidade em todos os nossos serviços — incluindo certificações, políticas e auditorias.

Visit Trust Center icon button
FEATURED

Get the Biometric Intelligence Report

Be among the first to get your Biometric Intelligence Report, featuring a detailed overview of biometrics and their business benefits in a dangerous online world.

Get the report icon button

Related resources

Previous
Next
Ver todos os recursos icon button

Webinar Veriff & Liminal: Garantia de Idade em um cenário em rápida evolução

IDV Article

Ver icon button

Você está preparado para a aplicação da REAL ID? Aqui está o porquê isso é importante para líderes de risco e conformidade

IDV Article

Ver icon button

Verificação de direito de alugar: Como as novas regulamentações de AML impactarão o setor de habitação do Reino Unido

IDV Article

Ver icon button

Entendendo a diferença entre Identificação e Verificação em Biometria

IDV Article

Ver icon button

5 melhores práticas para contratar os melhores talentos: Uma abordagem mais inteligente para startups e PMEs

IDV Article

Ver icon button

O que é minha identidade digital: Um guia abrangente para verificação online segura

IDV Article

Ver icon button

Uso futuro de biometria: IA, prevenção de fraudes e expansão da indústria

IDV Article

Ver icon button

Como integrar trabalhadores remotos: Um guia para garantir sua identidade com segurança

IDV Article

Ver icon button

Como identificar uma identificação falsa por estado

IDV Article

Ver icon button
Previous
Next
Ver todos os recursos icon button

Subscribe for insights

Start building with Veriff for free

Your journey toward faster, more accurate identity verification starts here.

Preços icon button Try for free icon button Get a demo icon button