BREXIT Y LOPD
Desde que Reino Unido anunciara que abandonaría la Unión Europeo, se han tratado diversos asuntos que durante estos años se han ido abordando, pero uno que ha quedado pendiente es cómo afecta esta salida a la libre circulación de datos y su privacidad, en definitiva, la protección de datos personales.
Una vez finalizado el periodo transitorio el pasado 1 de enero, la Comisión Europea ha acordado otorgar una prórroga de 6 meses, durante la cual se siga aplicando el Reglamento General de Protección de Datos (RGPD) y, por ende, se puedan intercambiar datos con Reino Unido con cierta normalidad.
Por tanto, a partir del 1 de julio de 2021, Reino Unido pasaría a ser considerado tercer país y cualquier comunicación de datos, una transferencia de datos. No obstante, durante estos próximos meses, el compromiso de ambas partes es llegar a un acuerdo y todo apunta a que Reino Unido sea considerado como país que garantiza un nivel de protección adecuado (decisión de adecuación) conforme recoge el RGPD, lo que implicaría que las transferencias de datos personales no requieran de ninguna autorización específica. De esta forma, pasaría a formar parte del listado de países que ya han sido objeto de decisión de adecuación, como son Suiza, Andorra, Argentina, entre otros.
España y Reino Unido cuentan con niveles idóneos de seguridad en privacidad y protección por aplicación del RGPD desde 2018, y concretamente en Reino Unido cuentan con el Acta de Protección de Datos (UK Data Protection Act), muy similar a las disposiciones del RGPD, por lo que se espera que se le reconozca como país adecuado. Sin embargo, habrá que esperar hasta entonces y valorar las opciones que recoge el RGPD para poder realizar transferencias internacionales de datos a terceros países. Las mismas podrán realizarse si se dan las siguientes garantías:
- Cuando exista un instrumento jurídicamente vinculante y exigible entre las autoridades.
- Cuando existan normas corporativas vinculantes (para grupos de empresas).
- Cláusulas contractuales tipo adoptadas por una autoridad de control y aprobadas por la Comisión.
- Adhesión a códigos de conducta y/o mecanismos de certificación.
En caso de no haber una decisión de adecuación o garantías, se contemplan unas excepciones para situaciones específicas para transferir datos personales, que pasan por el consentimiento expreso del interesado para dicha transferencia, que la misma sea necesaria para la ejecución del contrato entre el interesado y el responsable del tratamiento, que la transferencia sea necesaria por razones de interés público o que sea necesaria para proteger intereses vitales del interesado o de otras personas.
Por otro lado, lo que si deben hacer las empresas sujetas al RGPD, es designar un representante en la Unión Europea, al no disponer de la “ventanilla única”, que actúe de intermediario entre las autoridades de control y los interesados a fin de garantizar el cumplimiento de la normativa de protección de datos, y esto se debe hacer desde el 1 de enero de 2021.
Además, los otros deberes que tienen las empresas que transfieran datos a Reino Unido es identificar qué actividades conllevan transferencias de datos a dicho país y determinar las medidas que garanticen dichas transferencias, que se haga un análisis de riesgos, señalar en la documentación interna que se realizan transferencias y sobre todo, actualizar las políticas de privacidad para así informar a los interesados.
Está claro que el BREXIT ha provocado una ola de cambios que afecta a todos los niveles, y la protección de datos no ha sido menos, pero debemos esperar hasta finales de junio de 2021 para saber si la Comisión considera a Reino Unido adecuado para realizar transferencias seguras, que todas las partes seguramente así lo consideran, máxime cuando el nivel de seguridad en privacidad es muy similar al de otros países europeos, por haber estado bajo el paraguas del RGPD.
Marina Balduz Bernal
Abogada y Delegada de Protección de Datos
m.balduz@maabogados.com
T (+34) 91 4516157
