Página inicial

As disposições do Regulamento Geral de Proteção de Dados (GDPR) relacionadas ao processamento de dados pessoais (agora renomeado GDPR da UE) foram mescladas com a versão do Reino Unido do GDPR (Data Protection Act 2018) para se tornar o GDPR do Reino Unido. O Reino Unido é um dos países mais conectados do mundo e, após o Brexit, manter os fluxos de dados entre o Reino Unido e a UE continua sendo uma prioridade clara. Em 28 de junho de 2021, a Comissão Europeia adotou uma decisão de “adequação” para o Reino Unido, o que significa que a maioria das regras de proteção de dados que afetam as fintechs pré-Brexit permanecerão as mesmas. No entanto, isso está sujeito a revisão constante e, em qualquer caso, a uma atualização a cada quatro anos. Se o governo do Reino Unido decidir alterar as disposições da versão britânica do GDPR para apoiar a estratégia nacional de dados do Reino Unido, isso poderá comprometer a validade contínua da decisão de adequação.¹

Se, no final do período de quatro anos, a UE decidir não renovar a decisão de adequação, o Reino Unido se tornará um país terceiro em relação aos fluxos de dados da UE e as empresas terão que implementar mecanismos de conformidade mais complicados para governá-los, como regras corporativas vinculativas, cláusulas contratuais padrão da UE (SCC) ou outros acordos aprovados. A recente decisão Schrems II também se aplicará às transferências da UE para o Reino Unido e vice-versa. Essa decisão exige que as organizações avaliem se esses SCCs fornecem proteção "substancialmente equivalente" à do regime de proteção de dados do Reino Unido e tomem medidas adicionais quando necessário.¹

Em fevereiro de 2022, o Gabinete do Comissário de Informação do Reino Unido apresentou ao Parlamento um novo Acordo Internacional de Transferência de Dados (IDTA) e uma adição aos SCCs europeus para apoiar entidades que transferem dados fora do Reino Unido para países que não estão sujeitos a decisões de adequação à luz e de acordo com a decisão de Schrems II. O aplicativo deve ser usado no caso de transferências de dados pessoais sujeitos ao GDPR da UE e ao GDPR do Reino Unido, enquanto o IDTA se destina apenas a transferências sujeitas ao GDPR do Reino Unido. A menos que haja uma objeção do Parlamento, o IDTA e o adendo entrarão em vigor em 21 de março de 2022, e o Gabinete do Comissário deverá emitir orientações sobre seu uso. A entrada em vigor do IDTA e do adendo simplificará bastante a troca de dados para empresas multinacionais de fintech que estão sujeitas ao GDPR da UE e ao GDPR do Reino Unido. Assim como a propriedade intelectual, as tecnologias de serviços financeiros também estão testando a estrutura legal existente em relação à proteção de dados, apesar do GDPR ser relativamente recente.¹

As prioridades de tecnologia do Comissário da Informação para 2022 incluem trabalhar com o governo para reformar o GDPR do Reino Unido, que tem muito a ver com tecnologia no setor de serviços financeiros que lida com grandes quantidades de dados pessoais e pseudonimizados.¹

Para além do RGPD, o PSD II inclui uma série de regras específicas relativas ao tratamento de dados pessoais. Por exemplo, o PSD II prevê "consentimento explícito", levantando a questão de saber se isso limita o uso de vários outros motivos de processamento estabelecidos no GDPR. O Conselho Europeu de Proteção de Dados esclareceu que não é esse o caso. O “consentimento explícito” referido na DSP II é o consentimento contratual, que é um requisito adicional de natureza contratual. Os serviços de pagamento são sempre prestados numa base contratual entre o utilizador do serviço de pagamento e o serviço de pagamento. Ainda é necessário ter a base necessária para o processamento de dados de acordo com o GDPR; por exemplo, o processamento necessário para a execução de um contrato do qual o titular dos dados é parte.¹

Plataformas de fintech estrangeiras no mercado do Reino Unido

Fintech no Reino Unido

Fintech em outros países

Notas

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain