Brexit y protección de datos: un semestre clave
El acuerdo entre Londres y Bruselas prevé un periodo de transición para la privacidad de los usuarios de la UE
La salida de Reino Unido de la UE traerá importantes cambios en materia de protección de datos. En un mundo globalizado con enormes cantidades de transferencias transfronterizas de datos personales, el Brexit abre una nueva era de consecuencias en nuestra vida y también en la privacidad.
Hasta ahora, Reino Unido había traspuesto el Reglamento Europeo de Protección de Datos (GDPR) a su regulación doméstica (Data Protection Act 2018), contando con una normativa nacional de protección de datos adaptada al GDPR, muy similar a lo llevado a cabo por el resto de los países comunitarios, siendo de aplicación ambas normas.
Tras el acuerdo comercial y de cooperación cerrado el 24 de diciembre de 2020, Reino Unido y la UE establecieron que el GDPR continúe siendo aplicable de manera transitoria en Gran Bretaña durante los primeros seis meses de 2021, de forma que no se restrinjan los flujos de datos transfronterizos con requisitos de localización, almacenamiento o procesamiento, entre otros, y que se garanticen amplias salvaguardias para la protección de los datos personales.
Tal y como ha declarado la Autoridad de Control Británica en materia de protección de datos (ICO), el tratado con la UE permitirá que los datos personales fluyan libremente desde la UE (y el Espacio Económico Europeo, EEE) a Reino Unido, hasta que se hayan adoptado decisiones de adecuación, durante no más de seis meses. En este sentido, vemos que, al menos durante los seis primeros meses de 2021, nada cambia respecto a la situación anterior. Las organizaciones pueden confiar en el libre flujo de datos personales sin tener que realizar ningún cambio en sus prácticas de protección de datos.
No obstante, cabe la posibilidad de que se produzca un Brexit duro que implique importantes consecuencias en protección de datos. Al final del período mencionado y en ausencia de una decisión de la Comisión Europea que autorice generalmente la transferencia de datos personales a Reino Unido, conocida como “decisión de adecuación”, cualquier comunicación de datos personales a Gran Bretaña pasaría a considerarse una transferencia de datos a un tercer país.
Aquí cabe mencionar que dichas transferencias solo podrían realizarse con el establecimiento de garantías adecuadas, según lo dispuesto por el GDPR (cláusulas contractuales estándar, normas vinculantes de la empresa, etc.) y con la condición de que los ciudadanos de la UE cuenten con derechos exigibles y acciones legales efectivas, conforme establece el artículo 46 del GDPR. Pues “la protección que ofrece el Reglamento general de protección de datos viaja con los datos” y “las normas que protegen los datos personales seguirán aplicándose independientemente de dónde vayan a parar los datos”, concreta la Comisión Europea. También cuando los datos se transfieren a un Estado no perteneciente a la UE.
Como precaución sensata, antes y durante el período de transición de seis meses, la ICO recomienda a las empresas que intercambian datos personales y que trabajan con organizaciones de la UE y el EEE implementar mecanismos de transferencia alternativos para protegerse contra cualquier interrupción del libre flujo de la UE a Reino Unido, y viceversa, sobre información concerniente a datos de carácter personal.
Por otro lado, si en próximas relaciones y acuerdos se produjese una “declaración de adecuación” mediante una decisión de Bruselas, el envío de datos a Reino Unido podría realizarse sin ningún tipo de requisito formal adicional, similar en la práctica a las actuales comunicaciones de datos entre los Estados miembro de la UE y el EEE.
Otro de los cambios importantes a tener en cuenta es que desde el pasado 1 de enero todas aquellas organizaciones establecidas en Reino Unido y que traten datos de ciudadanos de la UE, entre otros requisitos previstos en el artículo 3 (2) del GDPR, deberán nombrar un representante en la UE, de conformidad con el artículo 27 de GDPR. Este representante podrá ser contactado por las autoridades supervisoras y los interesados sobre cualquier asunto relacionado con las actividades de tratamiento relativas a protección de datos para garantizar el cumplimiento del GDPR.
¿Qué futuro aguarda a la relación entre la UE y Reino Unido? La realidad, como todo lo que tiene que ver con el Brexit, es mucho más compleja. En momentos en los que todo se muestra incierto, nuevos acuerdos y relaciones tendrán que tejerse desde la oficialización del Acuerdo de Retirada. Habrá que estar muy atentos a futuras novedades que afectarán a numerosas empresas.
Israel Llavata es Information Security Governance & Data Protection Legal Counsel en Sothis