Blog

Protecció de Dades

RGPD y Brexit

Transferències de dades al Regne Unit després del Brexit

22 febrer, 2021

Al següent article us informem sobre com queda la situació fins al moment del Reglament General de Protecció de Dades amb el Regne Unit després del Brexit.

El 24 de desembre de 2020, els negociadors de la Unió Europea i el Regne Unit van arribar a un “principi d’acord” sobre el text d’un nou “Acord de comerç i cooperació” que regirà les seves relacions ara que el Regne Unit ha abandonat la UE. Les dues parts han d’avançar ara amb la signatura i ratificació d’aquest Acord de conformitat amb les seves normes i procediments, amb vista a la seva aplicació provisional a partir d’l’1 de gener de 2021.

En aquest projecte d’acord de cooperació i comerç, i segons resum de el mateix publicat pel govern britànic (Disposicions finals apartat 182), es contempla la lliure circulació de dades personals dels Estats de la Unió Europea, de l’Espai Econòmic Europeu (EEE / EEA) i de l’Àrea Europea de Lliure Comerç (AELC / EFTA) al Regne Unit fins que s’adoptin decisions d’adequació i per no més de sis mesos.

El Regne Unit ha considerat, amb caràcter transitori, que els Estats de la UE, de l’EEE i de l’AELC són adequats per permetre fluxos de dades des del Regne Unit.

Això vol dir que fins a mitjans d’any com a màxim, si no s’ha ratificat el “Acord de Comerç i Cooperació” es mantenen les mateixes condicions que fins ara, pel que fa a la lliure circulació de dades personals entre l’Espai Econòmic Europeu i el Regne Unit .A la pràctica, el Regne Unit passa a ser valorat com un tercer país i per tant qualsevol intercanvi de dades amb ells és considerat una transferència internacional de dades.

Si no s’arriba a un acord, l’escenari que es plantejarà és que el Regne Unit passarà a ser valorat com un tercer país i per tant qualsevol intercanvi de dades amb ells serà considerat una transferència internacional de dades.

És a dir, si passats els primers sis mesos de l’any 2021i mentre no hi hagi un acord entre el Regne Unit i l’Espai Econòmic Europeu, el tractament de dades realitzat per empreses britàniques no estarà subjecte al RGPD (tret que tinguin seu en territori de l’Espai Econòmic Europeu, o tractin dades de ciutadans europeus).

En aquesta situació, com a usuari, el Brexit no ens ha d’afectar en els casos en què hàgim confiat les nostres dades a empreses britàniques, ja que aquestes empreses han de complir el RGPD igualment.

El dubte es planteja en si podrem seguir intercanviant dades amb empreses i organitzacions del Regne Unit, en les mateixes condicions que ara. La resposta és clara: no, i per això hem de buscar les fórmules que s’estableixen en el Reglament General de Protecció de Dades per a les transferències internacionals de dades. Recordem que les transferències internacionals poden ser realitzades quan s’hagin assegurat i comprovat un nivell de protecció de les persones físiques, al país destí, de la següent manera:

  • Si el país objecte de la transferència no ha estat objecte d’acord amb una decisió d’adequació, es podran transferir les dades si es compleixen les següents garanties:
    • Quan hi hagi un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics.
    • Quan hi hagi normes corporatives vinculants.
    • Utilitzar les clàusules tipus de protecció de dades que la Comissió Europea posa a disposició de les empreses i organitzacions. Aquestes clàusules tipus també poden ser adoptades per una autoritat de control com l’Agència Espanyola de Protecció de Dades, però haurà de ser aprovat per la Comissió.
    • Quan hi hagi codis de conducta, que incloguin compromisos vinculants i exigibles al responsable o a l’encarregat del tractament al tercer país d’aplicar garanties adequades, incloses les relatives als drets dels interessats.
    • Si hi ha mecanismes de certificació, en la línia anteriorment esmentada.
  • Quan les transferències es basin en una decisió d’adequació, dictada per la Comissió Europea. Exemples de països que han estat objecte d’aquesta decisió d’adequació són Andorra, Nova Zelanda, Uruguai o el cas més recent, Japó.
  • Si no hi ha una decisió d’adequació o garanties, es podran transferir les dades si es compleixen alguns dels requisits que es detallen en l’article 49 del RGPD:
    • L’interessat hagi donat explícitament el seu consentiment a la transferència proposta, després d’haver estat informat dels possibles riscos.
    • La celebració i / o execució d’un contracte o mesures precontractuals adoptades per l’interessat, o en interès de la persona interessada.
    • La formulació, l’exercici o la defensa de reclamacions.
    • Protegir els interessos vitals de l’interessat o d’altres persones, quan l’interessat estigui físicament o jurídicament incapacitat per donar el seu consentiment.
    • La transferència es realitzi per raons importants d’interès públic o
    • S’efectuï des d’un registre públic que, d’acord amb el Dret de la Unió o dels estats membres, tingui per objecte facilitar informació al públic i estigui obert a la consulta al públic en general o de qualsevol persona que pugui acreditar un interès legítim, però només en la mesura que es compleixin, en cada cas particular, les condicions que estableix el Dret de la Unió o dels Estats membres per a la consulta.

Un altre canvi és que, ara, les empreses britàniques que estiguin subjectes al RGPD i que no comptin amb una seu en el territori de l’Espai Econòmic Europeu, hauran de designar un representant a la Unió Europea, segons el que estableix l’article 27 del RGPD. En concret, està subjecte a aquesta obligació tot responsable o encarregat del tractament de l’àmbit privat que realitzi tractament de dades no ocasional, a gran escala de categories especials de dades, a gran escala de dades relatives a condemnes i infraccions penals, i que sigui probable que comporti un risc per als drets i llibertats de les persones físiques. El representant, que haurà d’estar establert a la UE, actuarà de punt de contacte del responsable o encarregat amb els interessats i amb les autoritats de control corresponents

Un altre punt que caldrà tenir en compte en els tractaments transfronterers és la Finestreta única. Com a recordatori, el mecanisme de finestreta única preveu que hi hagi una única autoritat principal de protecció de dades, en els casos en què una entitat realitzi tractament de dades en diversos països de la UE. Doncs bé, com és lògic, des del passat 1 de gener, el Regne Unit deixa de pertànyer a aquest sistema de finestreta única.

Així doncs, mentre el Regne Unit no sigui inclòs en una decisió d’adequació per part de la Comissió Europea, recomanem analitzar els fluxos de dades cap i des del Regne Unit per a, posteriorment, redactar les clàusules contractuals estàndard amb les empreses o organitzacions necessàries. Òbviament l’elaboració i aprovació de normes corporatives vinculants sembla un procés complicat i llarg, el final molt probablement serà posterior a l’hora de la decisió d’adequació.

I no oblidem complir amb el principi de transparència i informar els afectats, a través de clàusules d’informació i consentiment modificades a aquest efecte, bé actualitzant els contractes amb els nostres clients.

A DATAX som una empresa especialitzada en matèria de protecció de dades i seguretat de la informació.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 16 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

 

Adriana Legnani

Consultora en matèria de protecció de dades i seguretat de la informació.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *