Projeto de Lei de Uso e Acesso a Dados (DUA) do Reino UnidoNavegando pelas mudanças e conformidade com o BigID

O Reino Unido Projeto de Lei de Uso e Acesso a Dados (DUA) Foi apresentado à Câmara dos Lordes do Reino Unido em 24 de novembro de 2024, para reformar a estrutura de proteção de dados existente, especificamente a Lei de Proteção de Dados. Regulamento de Privacidade e Comunicações Eletrônicas (PECR), e RGPD do Reino UnidoO projeto de lei DUA visa equilibrar a inovação orientada por dados e a proteção dos direitos individuais à privacidade. No entanto, ele tem o potencial de criar contrastes conflitantes com os padrões de privacidade de dados da UE, o que poderia afetar o status de adequação de dados do Reino Unido.

O que é o projeto de lei DUA?

O Projeto de Lei de Dados (Uso e Acesso) É uma proposta legislativa para estabelecer um quadro para sistemas de identificação digital e regulamentar o uso e o acesso a dados no país. O Projeto de Lei DUA foi publicado em 24 de outubro de 2024 para substituir a proposta fracassada do governo anterior. Projeto de Lei de Proteção de Dados e Informação Digital (DPDI).

O objetivo da DUA é “Desbloquear o uso seguro e eficaz de dados para o interesse público” Ao mesmo tempo que impulsiona o crescimento econômico e melhora a vida dos residentes do Reino Unido, o projeto de lei busca modernizar as práticas de dados, promover a inovação digital e garantir medidas robustas de proteção de dados.

Principais reformas estabelecidas no projeto de lei DUA

O projeto de lei DUA impacta substancialmente a proteção de dados no Reino Unido, com foco na redução dos encargos regulatórios para pequenas e médias empresas (PMEs), na simplificação das solicitações de acesso do titular dos dados (DSARs) e no aprimoramento da consonância com as políticas de dados da UE. Essas mudanças propostas têm implicações e continuam sendo cruciais para as organizações que se preparam para futuros desenvolvimentos legislativos.

O projeto de lei DUA propôs diversas alterações significativas no panorama da proteção de dados no Reino Unido:

Interesses legítimos e processamento

• Interesse legítimo: O projeto de lei propõe que os controladores não precisem realizar uma Avaliação de Interesses Legítimos (AIL, na sigla em inglês) quando o processamento se enquadrar em "interesses legítimos reconhecidos". Isso inclui cenários como salvaguardar a segurança nacional, proteger os vulneráveis ou responder a uma emergência.

Além disso, o Projeto de Lei DUA fornece exemplos específicos de atividades de processamento que podem ser consideradas necessárias para fins de interesses legítimos, incluindo marketing direto, compartilhamento interno de dados e segurança cibernética. O Projeto de Lei oferece a clareza necessária, garantindo que os controladores entendam quando podem se basear legalmente em interesses legítimos para o processamento de dados.

• Processamento adicional de dados pessoais: O projeto de lei reforça as regulamentações sobre o processamento posterior de dados pessoais, enfatizando sua compatibilidade com a finalidade original da coleta. As organizações devem realizar avaliações mais rigorosas para garantir que qualquer novo uso de dados pessoais permaneça alinhado com sua intenção inicial.

DSARs e Tomada de Decisão Automatizada

• DSARs: O Projeto de Lei DUA aprimora o tratamento de Solicitações de Acesso do Titular dos Dados (DSARs), exigindo que os controladores realizem buscas “razoáveis e proporcionais”, embora não defina esses termos explicitamente. Ele introduz isenções para informações protegidas pelo sigilo profissional e esclarece os prazos de resposta com base na verificação de identidade ou em detalhes adicionais de processamento. Diferentemente do Projeto de Lei DPDI, ele não permite que os controladores recusem solicitações de reclamação, mas fornece respaldo legal para as limitações do escopo da busca, garantindo que os controladores sejam obrigados a fornecer informações apenas com base em um esforço razoável e proporcional. Isso oferece maior clareza e segurança jurídica para as organizações que gerenciam a conformidade com as DSARs.
• Tomada de decisão automatizada: O projeto de lei estabelece regulamentações mais rigorosas para decisões significativas tomadas exclusivamente por meio de processamento automatizado, garantindo imparcialidade e transparência na tomada de decisões algorítmicas. Ele restringe a proibição da tomada de decisões automatizadas a casos que impactam significativamente os titulares dos dados e envolvem dados de categoria especial. Além disso, introduz novos direitos para os titulares dos dados, incluindo o direito de receber informações sobre decisões automatizadas e solicitar intervenção humana no processo decisório.

Consentimento e Cookies

• Regulamentação do consentimento para cookies: O projeto de lei altera o Regulamento de Privacidade e Comunicações Eletrônicas (PECR), que visa reduzir os pop-ups e banners de cookies, permitindo certos tipos de... biscoitos ser colocado sem Consentimento explícito do usuário. Isso inclui cookies usados para funcionalidades essenciais do site, segurança, prevenção de fraudes e medição de audiência. Além disso, o projeto de lei incentiva o desenvolvimento de configurações baseadas no navegador ou no dispositivo que permitam aos usuários gerenciar suas preferências de cookies. preferências de cookies de forma mais eficaz, reduzindo a necessidade de solicitações repetidas de consentimento.
• Esclarecendo o consentimento: O projeto de lei define "consentimento livremente dado" para abordar preocupações sobre serviços que exigem consentimento como condição de acesso. Essa mudança promove mais transparência e práticas de dados mais amigáveis ao usuário em geral.
• Pesquisa científica: O projeto de lei altera o RGPD (Regulamento Geral de Proteção de Dados) do Reino Unido para permitir que os controladores de dados processem dados para fins de pesquisa científica, obtendo consentimento para uma área específica da pesquisa. Isso permite que os titulares dos dados consintam apenas com certos aspectos da pesquisa, em vez de com o estudo completo.

Novidades da Lei DUA

O projeto de lei DUA inclui novos elementos não presentes no projeto de lei DPDI, tais como:

• Dados de categoria especial: Nos termos da Cláusula 74, o Secretário de Estado tem autoridade para emitir regulamentos que expandem as categorias especiais de dados previstas no Artigo 9 do RGPD do Reino Unido. Esses regulamentos podem introduzir novas categorias de dados, refinar as condições aplicáveis, proibir o processamento e adicionar definições para se adaptarem aos avanços tecnológicos e sociais.
• Dados das crianças: O projeto de lei DUA reforça o proteção de dados de crianças Ao exigir que o Gabinete do Comissário de Informação do Reino Unido (ICO) priorize a vulnerabilidade das crianças no processamento de dados ao aplicar as leis de proteção de dados.
• Reclamações de titulares de dados: O projeto de lei DUA exige que os titulares dos dados primeiro apresentar reclamações As reclamações devem ser comunicadas diretamente ao controlador relevante antes de serem encaminhadas ao ICO, caso não sejam resolvidas, visando reduzir o volume de trabalho do ICO. As organizações devem estabelecer um procedimento formal de reclamações e manter um registro de reclamações de proteção de dados, que deve ser compartilhado com o ICO mediante solicitação.
• Transferências internacionais de dados: O projeto de lei altera o RGPD (Regulamento Geral de Proteção de Dados) do Reino Unido, permitindo que o Secretário de Estado aprove transferências de dados usando um novo "teste de proteção de dados", garantindo que os padrões de outros países não sejam significativamente inferiores aos do Reino Unido.
• Serviços de verificação digital: O projeto de lei estabelece regulamentações para serviços de verificação digital, incluindo um cadastro de provedores e uma estrutura de confiança, com o objetivo de aumentar a confiança na verificação de identidade online.

Como a BigID pode ajudar as organizações a se alinharem com o projeto de lei DUA

BigID Capacita as organizações a cumprirem a nova Lei de Uso e Acesso a Dados (DUA) do Reino Unido, fornecendo recursos avançados de descoberta, classificação, governança e IA de dados. digitalização e catalogação automatizadasA BigID ajuda as organizações a identificar e gerenciar dados pessoais e sensíveis, simplificando a conformidade com regulamentações mais rigorosas sobre processamento de dados, interesses legítimos, consentimento e direitos do titular dos dados. Os recursos de monitoramento de segurança e conformidade da BigID também ajudam a mitigar os riscos associados a transferências de dados, tomada de decisões automatizada e proteção de dados de crianças, alinhando as organizações aos requisitos regulatórios em constante evolução da Lei de Uso de Dados (DUA).

Com o BigID, as organizações podem:

• Obtenha visibilidade dos dados: Classifique, categorize, etiquete e rotule automaticamente dados pessoais sensíveis com precisão, granularidade e em escala por pessoa, nível de sensibilidade, tipo, contexto e conteúdo.
• Descubra os dados: Descubra e catalogue seus dados confidenciais, incluindo dados estruturados, semiestruturados e não estruturados – em ambientes locais e na nuvem.
• Minimizar dados: Assegure a minimização de dados através da descoberta e correlação de duplicados para remover automaticamente dados ROT (repetições, obsoletos e irrelevantes) e reduzir sua superfície de ataque.
• Automatize o gerenciamento de direitos de dados: Automatize solicitações individuais de cumprimento dos direitos relativos a dados pessoais, como acesso, atualização, recursos e exclusão.
• Gerenciar consentimento e preferências universais: Gerencie e ajuste o consentimento e as preferências do consumidor de forma universal e centralizada em diversos canais com facilidade.
• Simplifique a gestão do ciclo de vida dos dados: Aplique uma abordagem baseada em políticas para automatizar o gerenciamento do ciclo de vida dos dados, abrangendo coleta, retenção e exclusão.
• Monitorar transferências de dados transfronteiriças: Criar políticas e atribuir residência a fontes de dados e dados de indivíduos para garantir o cumprimento dos requisitos de residência de dados, bem como monitorar e alertar sobre transferências de dados.
• Avaliar o risco de privacidade: Iniciar, gerenciar, documentar e concluir diversas avaliações, incluindo: PIA, DPIA, IA, TIA, LIA e fornecedores, para manter a conformidade e reduzir o risco.
• Garantir a conformidade com o Projeto de Lei DUA: Simplifique os processos de conformidade com recursos e estruturas de privacidade e segurança de ponta a ponta para aplicar políticas, cumprir requisitos regulamentares e proteger dados pessoais, sensíveis e regulamentados.

Entre em contato com os especialistas em privacidade da BigID para descobrir como simplificar a gestão da privacidade e, ao mesmo tempo, fortalecer a conformidade. Agende sua demonstração hoje mesmo!

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.