Brexit y Protección de Datos

 

A partir del 1 de enero, el Reino Unido ya no está obligado a cumplir con la legislación de la UE y ya no tiene acceso al mercado interior ni a la Unión Aduanera. La libre circulación de personas ha dejado de ser aplicable entre la UE y el Reino Unido.

Acuerdo comercial entre UE y UK

Sin embargo, el pasado 24 de diciembre de 2020, la Unión Europea y el Reino Unido acordaron un borrador de acuerdo comercial y de cooperación donde se determinan las reglas aplicables a las relaciones entre la UE y UK, en una serie de áreas, entre ellas comercio, transporte, coordinación de la seguridad social, cooperación policial y judicial, etc.

¿Y cómo afecta el BREXIT a la protección de datos? En esta materia se ha establecido una moratoria de 6 meses para que, durante este periodo y hasta el 1 de julio de 2021, puedan seguir aplicándose las disposiciones del Reglamento General de Protección de Datos (RGPD).

Y ¿qué pasará el 1 de julio de 2021?

Una vez haya finalizado este plazo máximo de 6 meses, todos los flujos transfronterizos de datos personales que se realicen al Reino Unido, y a menos que una decisión de la Comisión Europea reconozca a UK como país que garantiza un nivel adecuado de protección, deberán supervisarse pues estaremos ante una transferencia internacional de datos, y deberá realizarse mediante la aplicación de alguno de los siguientes instrumentos previstos por el RGPD para transferencias a terceros países:

• Cláusulas contractuales tipo o ad hoc

A falta de una decisión de adecuación, estos contratos ofrecen las garantías adicionales idóneas que se necesitan para la realización de transferencias de datos a un tercer país. Actualmente, existen entre responsables dentro del EEE (Espacio Económico Europeo), a un responsable en un tercer país y entre responsables dentro del EEE y un encargado del tratamiento ubicado en un tercer país. Estos contratos no pueden modificarse y deben firmarse tal como se entregan. Pueden incluirse dentro un contrato más amplio y se pueden añadir cláusulas adicionales siempre y cuando no contradigan, directa o indirectamente, las cláusulas tipo de protección de datos adoptadas por la Comisión. Cualquier modificación añadida a las cláusulas tipo de protección de datos supondrá que se considerarán cláusulas contractuales ad hoc. Antes de efectuar cualquier transferencia, la autoridad de control nacional competente debe autorizar estas cláusulas contractuales adaptadas, previo dictamen del Comité Europeo de Protección de Datos (CEPD).

• Normas corporativas vinculantes

Las NCV (o Binding Corporate Rules -BCR-) son políticas de protección de datos a las que se adhiere un grupo de empresas (es decir, multinacionales) para proporcionar garantías idóneas para las transferencias de datos personales dentro del grupo, incluidas aquellas a países no pertenecientes al EEE. En el caso de que las NCV no estén en vigor, la autoridad de control nacional competente debe aprobarlas, previo dictamen del CEPD.

• Adhesión a códigos de conducta y/o mecanismos de certificación

Estas herramientas son nuevas en virtud del RGPD. Los códigos de conducta y/o mecanismos de certificación pueden ofrecer garantías adecuadas para las transferencias de datos personales si incluyen compromisos vinculantes y aplicables por parte de la organización en el país tercero en beneficio de los particulares. El CEPD está elaborando guías para ofrecer más información acerca de las condiciones armonizadas y el procedimiento necesario para utilizar estas herramientas.

• Aplicación de excepciones

Solo podrán utilizarse si no existen cláusulas tipo u otras garantías alternativas adecuadas. Deben interpretarse de forma restrictiva y hacen referencia principalmente a actividades de tratamiento ocasionales y no repetitivas. Entre dichas excepciones se encuentran el consentimiento explícito del interesado, habiendo sido informado previamente de los posibles riesgos de las transferencias, cuando la transferencia es necesaria para la celebración o ejecución de un contrato, en interés del interesado, cuando es necesaria por razones importantes de interés público o es necesaria en virtud de intereses legítimos imperiosos de la entidad, entre otras (art. 49 RGPD).

Y todo ello siempre con la condición de que se reconozca a los europeos derechos exigibles y recursos efectivos, tal y como establece el art. 46 RGPD.

¿Qué medidas deben adoptar las organizaciones respecto la protección de datos ante el BREXIT?

Las empresas y organizaciones deberán seguir estos pasos cuando transfieran datos al Reino Unido:

a) Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido.

b) Determinar el instrumento de transferencia de datos adecuado para su situación.

c) Aplicar el instrumento de transferencia de datos elegido.

d) Indicar en su documentación interna que se efectuarán transferencias al Reino Unido.

e) Actualizar sus políticas de privacidad para informar a los particulares.

Por otro lado, la "ventanilla única" ha dejado de ser aplicable en el Reino Unido.

¿Qué repercusiones tiene el no disponer de la ‘ventanilla única’ en materia de protección de datos ante el BREXIT?

Con la ventanilla única los responsables del tratamiento ubicados en el EEE pueden apoyarse en una autoridad principal, la cual es su interlocutora y con la que deben cumplir las distintas obligaciones previstas en el RGPD; de esta forma se armonizan las decisiones relativas al tratamiento transfronterizo facilitando los trámites para las empresas en la UE.

Con base al acuerdo de cooperación entre la UE y el Reino Unido, la ventanilla única desaparece, y los responsables y encargados de datos establecidos en el Reino Unido y cuyo tratamiento de datos se sujeta al RGPD, a partir del 1 de enero de 2021 deben nombrar a un representante en la Unión, de conformidad con el art. 27 RGPD.

Este representante puede ser contactado por las autoridades supervisoras y los interesados ??sobre cualquier asunto relacionado con el tratamiento de datos personales para garantizar el cumplimiento del RGPD. En ausencia de un establecimiento principal en el territorio del Espacio Económico Europeo (EEE), los responsables o encargados del tratamiento no pueden beneficiarse del mecanismo de ventanilla única. Los responsables o los encargados del tratamiento solo pueden beneficiarse de la ventanilla única siempre que tengan un establecimiento, oficinas de representación, filiales o cualquier otro establecimiento con sede física y personal capacitado establecido en el EEE. Si no, no podrán.

Conclusión sobre BREXIT y protección de datos

Lo más probable es que la Comisión Europea adopte una “decisión de adecuación” a través de la que se reconozca que la normativa de protección de datos de UK (el Data Protection Act 2018) ofrece un nivel de protección equivalente al que proporciona el RGPD, pues ambas normativas se asemejan en el enfoque sobre la protección de datos: se basan en una correcta gestión del riesgo, asegurando un flujo seguro de información en el mercado.

En el caso de que finalmente se declare a UK como país adecuado mediante una decisión de la Comisión, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito, como se venía realizando hasta ahora. Tendremos que esperar hasta el 1 de julio.

 

Georgina Andrés

Abogada especialista IP/IT

Directora Área Jurídica Pymelegal, S.L.