Blog

Protección de Datos

RGPD y Brexit

Transferencia de datos al Reino Unido después del Brexit

22 febrero, 2021

En el siguiente artículo os informamos sobre cómo queda la situación hasta el momento del Reglamento General de Protección de Datos con Reino Unido después del Brexit.

El pasado 24 de diciembre de 2020, los negociadores de la Unión Europea y Reino Unido alcanzaron un “principio de acuerdo” sobre el texto de un nuevo “Acuerdo de comercio y cooperación” que regirá sus relaciones ahora que el Reino Unido ha abandonado la UE. Ambas partes deben avanzar ahora con la firma y ratificación de este Acuerdo de conformidad con sus respectivas normas y procedimientos, con miras a su aplicación provisional a partir del 1 de enero de 2021.

En este proyecto de acuerdo de cooperación y comercio, y según resumen del mismo publicado por el gobierno británico (Disposiciones finales apartado 182), se contempla la libre circulación de datos personales de los Estados de la Unión Europea, del Espacio Económico Europeo (EEE/EEA) y del Área Europea de Libre Comercio (AELC/EFTA) al Reino Unido hasta que se adopten decisiones de adecuación y por no más de seis meses.

El Reino Unido ha considerado, con carácter transitorio, que los Estados de la UE, del EEE y del AELC son adecuados para permitir flujos de datos desde el Reino Unido.

Esto significa que hasta mediados de año como máximo, si no se ha ratificado el “Acuerdo de Comercio y Cooperación” se mantienen las mismas condiciones que hasta ahora, en cuanto a la libre circulación de datos personales entre el Espacio Económico Europeo y el Reino Unido.

Si no se llega a un acuerdo, el escenario que se planteará es que el Reino Unido pasará a ser valorado como un tercer país y por tanto cualquier intercambio de datos con ellos será considerado una transferencia internacional de datos.

Es decir, si pasados los primeros seis meses del año 2021 y mientras no haya un acuerdo entre el Reino Unido y el Espacio Económico Europeo, el tratamiento de datos realizado por empresas británicas no estará sujeto al RGPD (a no ser que tengan sede en territorio del Espacio Económico Europeo, o traten datos de ciudadanos europeos).

En esa situación, como usuario, el Brexit no tiene por qué afectarnos en los casos en que hayamos confiado nuestros datos a empresas británicas, ya que estas empresas deberán cumplir con el RGPD igualmente.

La duda se plantea en si podremos seguir intercambiando datos con empresas y organizaciones del Reino Unido, en las mismas condiciones que ahora. La respuesta es clara: no,  y por ello debemos buscar las fórmulas que se establecen en el Reglamento General de Protección de Datos para las transferencias internacionales de datos. Recordemos que las transferencias internacionales pueden ser realizadas cuando se hayan asegurado y comprobado un nivel de protección de las personas físicas, en el país destino, de la siguiente forma:

  • Cuando las transferencias se basen en una decisión de adecuación, dictada por la Comisión Europea. Ejemplos de países que han sido objeto de esta decisión de adecuación son Andorra, Nueva Zelanda, Uruguay o el caso más reciente, Japón.
  • Si el país objeto de la transferencia no ha sido objeto en base a una decisión de adecuación, se podrán transferir los datos si se cumplen las siguientes garantías:
    • Cuando exista un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
    • Cuando existan normas corporativas vinculantes.
    • Utilizar las cláusulas tipo de protección de datos que la Comisión Europea pone a disposición de las empresas y organizaciones. Dichas cláusulas tipo también podrán ser adoptadas por una autoridad de control como la Agencia Española de Protección de Datos, pero deberá ser aprobado por la Comisión.
    • Cuando existan códigos de conducta, que incluyan compromisos vinculantes y exigibles al responsable o al encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
    • Si existen mecanismos de certificación, en la línea anteriormente comentada.
  • Si no existe una decisión de adecuación o garantías, se podrán transferir los datos si se cumplen algunos de los requisitos que se detallan en el artículo 49 del RGPD:
    • El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos.
    • La celebración y/o ejecución de un contrato o medidas precontractuales adoptadas por el interesado, o en interés del interesado.
    • La formulación, el ejercicio o la defensa de reclamaciones.
    • Proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
    • La transferencia se realice por razones importantes de interés público o
    • Se efectúe desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Otro cambio será que, las empresas británicas que estén sujetas al RGPD y que no cuenten con una sede en el territorio del Espacio Económico Europeo, deberán designar un representante en la Unión Europea, según lo establecido en el artículo 27 del RGPD. En concreto, está sujeto a esta obligación todo responsable o encargado del tratamiento del ámbito privado que realice tratamiento de datos no ocasional, a gran escala de categorías especiales de datos, a gran escala de datos relativos a condenas e infracciones penales, y que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas. El representante, que deberá estar establecido en la UE, actuará de punto de contacto del responsable o encargado con los interesados y con las autoridades de control correspondientes.

Otro punto que deberemos tener en cuenta en los tratamientos transfronterizos es la Ventanilla única. A modo recordatorio, el mecanismo de ventanilla única prevé que haya una única autoridad principal de protección de datos, en los casos en que una entidad realice tratamiento de datos en varios países de la UE. Pues bien, como es lógico, una vez pasados los plazos, el Reino Unido dejará de pertenecer a este sistema de ventanilla única.

Así pues, mientras el Reino Unido no sea incluido en una decisión de adecuación por parte de la Comisión Europea, recomendamos analizar los flujos de datos hacia y desde el Reino Unido para, posteriormente, redactar las cláusulas contractuales estándar con las empresas u organizaciones necesarias. Obviamente la elaboración y aprobación de normas corporativas vinculantes se antoja un proceso complicado y largo, cuyo final muy probablemente será posterior al momento de la decisión de adecuación.

Y no olvidemos cumplir con el principio de transparencia e informar a los afectados, a través de cláusulas de información y consentimiento modificadas a tal efecto, bien actualizando los contratos con nuestros clientes.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en la materia.

 

Adriana Legnani

Consultora en materia de protección de datos y seguridad de la información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *