“¿Y ahora qué?” Eso nos preguntamos muchos cuando el 23 de Junio de 2016, el Reino Unido aprobaba por referéndum la salida de la Unión Europea, y con ello el comienzo de un nuevo panorama en materia de protección de datos. Aunque durante un tiempo pensamos que todo aquello no llegaría a buen puerto, 5 años después, el Brexit es una realidad. Y aunque parezca que hubo tiempo suficiente para adaptarse, aún lo estamos haciendo, sobre todo en materia legal.

Actualmente la relación entre el Reino Unido y la Unión Europea está basada en el Acuerdo de Comercio y Cooperación que entró en vigor el día 1 de Enero de este año. Este acuerdo supone un importante cambio tanto para ciudadanos como para empresas, ya que determina las reglas aplicables en ámbitos como la contratación pública, el comercio, el transporte, la cooperación policial y judicial, etc.

¿Y qué ocurre con la protección de datos? ¿Se seguirá aplicando el RGPD al Reino Unido? ¿Se le considerará un país seguro? Te lo aclaramos

Moratoria

Tras el Acuerdo cerrado el 24 de diciembre de 2020, el Reino Unido y la UE establecieron que el RGPD continúe siendo aplicable de manera transitoria en el país durante los primeros seis meses de 2021. Teniendo esto en cuenta, hasta el 30 de Junio de este año todo sigue igual: los datos personales pueden cederse libremente al país vecino, pues Reino Unido sigue siendo un país seguro. Las empresas, por tanto, pueden confiar en el libre flujo de datos personales sin tener que realizar ningún cambio en sus prácticas de protección de datos.

1 de Julio de 2021

Quedan tan solo unas semanas para que la moratoria concluya, y salvo que la Comisión Europea incluya al Reino Unido en su lista de países seguros, aquellos que garantizan un nivel de protección adecuado en materia de protección de datos, llegado el día 1 todas las transmisiones de datos personales que se realicen al Reino Unido deberán supervisarse, pues estaremos ante una transferencia internacional de datos a un tercer país ajeno a las normas de la UE.

En este sentido la normativa es clara, las transferencias internacionales de datos deberán realizarse mediante la aplicación de alguno de los siguientes instrumentos:

  • Cláusulas contractuales tipo

Son aquellas cláusulas estándar que han sido adoptadas por la Comisión Europea para ofrecer las garantías necesarias cuando existen transferencias de datos a un tercer país no considerado seguro por la Comisión. Pueden incluirse dentro un contrato más amplio y se pueden añadir cláusulas adicionales siempre y cuando no contradigan las cláusulas tipo adoptadas por la Comisión. Si se amplían, antes de efectuar cualquier transferencia, la autoridad de control nacional competente (en nuestro caso la AEPD) debe autorizar estas cláusulas contractuales adaptadas, previo dictamen del Comité Europeo de Protección de Datos.

  • Normas corporativas vinculantes

O “Binding Corporate Rules” (BCR) son instrumentos, consistentes en políticas de protección de datos personales asumidas por un grupo o una unión de empresas, siempre que se dediquen a una actividad económica conjunta. Es decir, multinacionales.

La autoridad de control competente aprobará estas normas de conformidad con el mecanismo establecido en el artículo 63 del RGPD

  • Códigos de conducta

Son una muestra de autorregulación. Las entidades y organizaciones los redactan con arreglo a la normativa de protección de datos (RGPD y la LOPDP-GDD) para regularse a sí mismas. Son voluntarios, pero una vez se adhieran a ellos serán vinculantes tanto para los responsables como para los encargados del tratamiento.

  • Mecanismos de certificación

Al igual que los códigos de conducta, estos mecanismos suponen una manera de ofrecer las garantías adecuadas para las transferencias de datos personales a terceros países. Para conceder la certificación, el organismo acreditado competente recabará la información necesaria del responsable y del encargado del tratamiento, si cumplen las garantías expedirá la certificación que será válida durante tres años y podrá renovarse en las mismas condiciones.

Excepciones

Cuando no existan ni las cláusulas contractuales tipo, ni ningún otro instrumento de garantía, las transferencias internacionales podrán realizarse cuando:

  1. Haya consentimiento explícito del interesado
  2. La transferencia sea necesaria para la ejecución o celebración de un contrato entre el interesado y el responsable, u otra persona física o jurídica.
  3. Existan razones importantes de interés público
  4. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
  5. Se necesite para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté incapacitado para dar su consentimiento
  6. La transferencia se realice desde un registro público que tenga por objeto facilitar información y esté abierto a la consulta del público general o de cualquier persona que pueda acreditar un interés legítimo. Siempre que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales. En este supuesto el responsable del tratamiento deberá informar a la autoridad de control de la transferencia.

¿Qué medidas deben adoptar las empresas?

Aquellas empresas que transfieran datos desde, o hacia, el Reino Unido deberán tomar todas las medidas necesarias para cumplir con la transferencia internacional de datos que se producirá a partir del 1 de julio. Esto implica utilizar alguno de los instrumentos que recoge la normativa para garantizar la seguridad de las cesiones de datos, y en caso de disponer de página web, actualizar la Política de Privacidad para informar de la transferencia, así como adecuar los formularios de recogida de datos de la web, para que el interesado de explícitamente su consentimiento.

Además, si la empresa trata datos personales de ciudadanos de Reino Unido y no dispone de una delegación en el país, necesitará designar a un representante allí para que pueda actuar en nombre de la empresa, tanto para dar respuesta a los derechos de los ciudadanos, como para responder ante cualquier requerimiento de la ICO (la AEPD británica).

Afortunadamente el panorama aún puede cambiar. Quedan unas semanas para que llegue la fecha límite y se prevé que el Reino Unido transponga la normativa del reglamento europeo al llamado “RGPD británico” (una actualización de su Data Protection Act 2018). Si esto se produce, la Unión Europea debería haber alcanzado un acuerdo con el Reino Unido en cuanto a las transferencias de datos personales entre ambas partes, y seguramente se sigan considerando seguras.

 

¿Necesitas realizar cambios en tu empresa para cumplir con los nuevos requisitos? Desde ExpertosLOPD® te garantizamos siempre un cumplimiento óptimo de la normativa, de manera que te puedes olvidar de la protección de datos en tu empresa, ya que nosotros te facilitaremos su aplicación y te asesoraremos en todo momento. ¿Tienes dudas? ¡Contáctanos!

Expertos LOPD
Expertos LOPD
Somos ExpertosLOPD®, despacho especializado en protección de datos. Queremos que nuestros clientes, ya sean empresas o profesionales, puedan cumplir las engorrosas e indescifrables normativas de protección de datos (RGPD, LOPD-GDD, LSSICE) de forma completa y correcta, a precios razonables.