Não há dúvida de que o GDPR deixou sua marca nas relações comerciais em todo o mundo. Os reguladores da UE decidiram criar um padrão para a regulamentação da privacidade de dados, que realizaram não apenas para a UE, mas também para o mundo. O GDPR exige que os países que buscam transferências de dados transnacionais sem descontinuidades tenham seus próprios regulamentos de privacidade que atendam aos requisitos rígidos do GDPR, o que estimulou um aumento mundial da legislação de privacidade no último ano.

O Artigo 45 do GDPR declara: “Um controlador ou processador pode transferir dados pessoais para um terceiro país ou uma organização internacional somente se o controlador ou processador tiver fornecido as devidas salvaguardas.” Portanto, antes que uma organização possa transferir informações de participantes da informação da UE para um país fora da UE, os padrões de privacidade deste país devem ser aprovados pela Comissão Europeia ou devem ser estabelecidas regras corporativas vinculativas (BCRs). As BCRs são estabelecidas entre a organização e a Comissão Européia ou um DPA da UE. Este post analisa os requisitos do GDPR para acordos de adequação, as etapas que os países devem seguir para receber um, e o que se tornou o “Plano B” de muitas organizações: regras corporativas vinculantes.

Compreender os acordos de adequação

Para continuar as relações comerciais com a UE no âmbito do GDPR, muitos países não pertencentes à UE buscaram acordos de adequação nos últimos meses. Os acordos de adequação minimizam consideravelmente a carga regulatória sobre as organizações que precisam transferir dados internacionalmente para realizar negócios. Para obter um acordo de adequação, esses países devem aprovar seus próprios regulamentos de privacidade que correspondam de maneira suficiente aos requisitos do GDPR. Atualmente, a Comissão Europeia reconheceu 11 países ou territórios, incluindo Argentina, Israel, Nova Zelândia e Japão , como fornecendo proteção de dados adequada.

Como são tomadas as decisões de adequação?

Para obter uma decisão de adequação, um país deve primeiro avaliar se sua estrutura de proteção de dados atende aos requisitos estabelecidos no Artigo 45 do GDPR. Existem dois factores principais que a Comissão Europeia utiliza para determinar se um país estabeleceu um nível de protecção adequado:

  1. Nível de Segurança Humana: A Comissão examina a similaridade entre a regulamentação de outro país quando se trata de seu estado de direito, a legislação de direitos humanos e a implementação de regulamentos de privacidade e segurança. Esta é a razão pela qual muitos países publicaram recentemente regulamentações de privacidade de dados que imitam o GDPR quando se trata de solicitações de sujeitos de dados, notificação de violação de dados e funções de DPO ( ver Brasil , Israel e Coréia do Sul). A UE está aberta sobre o fato de que considera o GDPR como o “padrão ouro” de proteção de dados, e que sua expectativa é de que os outros subam ao seu nível.
  2. Estabelecimento de uma Autoridade Supervisora ​​Independente: A Comissão também considera se o país possui uma autoridade supervisora ​​e o sucesso dessa autoridade na implementação e regulamentação das leis de privacidade de dados dentro do país (assemelhando-se às Autoridades de Proteção de Dados da UE ). Para avaliar isso, a Comissão analisa as multas monetárias do país por violações de padrões de proteção de dados. É por isso que as autoridades federais de supervisão independentes estão se tornando uma tendência global, juntamente com o aumento da regulamentação global de privacidade.
Depois que a Comissão determinar que um país atende a seus padrões de adequação, ele adicionará esse país à sua “lista de permissões”, permitindo a transferência irrestrita de dados. Uma vez estabelecida essa relação, a Comissão tem autoridade para realizar uma revisão periódica do acordo de adequação do país a cada quatro anos, ou simplesmente sempre que julgar necessário.

Plano B: Regras Corporativas Vinculantes

As regras corporativas vinculativas (BCRs) são um conjunto de regras para transferências de dados estabelecidas entre empresas multinacionais e governos da UE. Nos termos das BCR, uma organização pode transferir dados pessoais da UE para o estrangeiro para as suas instalações fora da UE. As organizações têm a capacidade de construir suas próprias BCRs, desde que essas regras se alinhem com os padrões do European Data Protection Board (EDPB) para proteção de dados.   

Como receber autorização BCR

  1. Selecione um DPA da UE para ser a autoridade principal (dependendo da localização da sua organização dentro da UE). O DPA líder circula suas metodologias entre outras DPAs para garantir o acordo entre as autoridades de supervisão.
  2. Receber e endereçar quaisquer comentários ou preocupações das DPAs.
  3. Inscreva-se e aguarde a aprovação.
As BCRs ajudam significativamente organizações com instalações em países que não têm um acordo de adequação com a UE. Atualmente, existem mais de 100 grandes empresas com BCRs estabelecidas – 75% das quais são organizações sediadas nos EUA. As BCRs são consideradas a melhor opção para organizações que são compatíveis com GDPR, mas não estão estabelecidas em um país da lista de permissões da UE.


Os dados são o novo ouro para as empresas, e os acordos de adequação permitem que os países negociem esse valioso recurso tecnológico. O número de países que procuram um acordo de adequação continuará a aumentar, com esses países emitindo suas próprias variações sobre o PIBR da UE. Para organizações em países sem um acordo de adequação, a construção de programas de privacidade e segurança que se alinhem com o GDPR e tomem as medidas necessárias para estabelecer um acordo de BCR deve ser uma prioridade.

 

 

ARTIGO TRADUZIDO DE: https://blog.focal-point.com/understanding-cross-border-data-transfers-in-the-gdpr-era