Transferencia de datos al Reino Unido después del Brexit

22 febrero, 2021

En el siguiente artículo os informamos sobre cómo queda la situación hasta el momento del Reglamento General de Protección de Datos con Reino Unido después del Brexit.

El pasado 24 de diciembre de 2020, los negociadores de la Unión Europea y Reino Unido alcanzaron un «principio de acuerdo» sobre el texto de un nuevo «Acuerdo de comercio y cooperación» que regirá sus relaciones ahora que el Reino Unido ha abandonado la UE. Ambas partes deben avanzar ahora con la firma y ratificación de este Acuerdo de conformidad con sus respectivas normas y procedimientos, con miras a su aplicación provisional a partir del 1 de enero de 2021.

En este proyecto de acuerdo de cooperación y comercio, y según resumen del mismo publicado por el gobierno británico (Disposiciones finales apartado 182), se contempla la libre circulación de datos personales de los Estados de la Unión Europea, del Espacio Económico Europeo (EEE/EEA) y del Área Europea de Libre Comercio (AELC/EFTA) al Reino Unido hasta que se adopten decisiones de adecuación y por no más de seis meses.

El Reino Unido ha considerado, con carácter transitorio, que los Estados de la UE, del EEE y del AELC son adecuados para permitir flujos de datos desde el Reino Unido.

Esto significa que hasta mediados de año como máximo, si no se ha ratificado el “Acuerdo de Comercio y Cooperación” se mantienen las mismas condiciones que hasta ahora, en cuanto a la libre circulación de datos personales entre el Espacio Económico Europeo y el Reino Unido.

Si no se llega a un acuerdo, el escenario que se planteará es que el Reino Unido pasará a ser valorado como un tercer país y por tanto cualquier intercambio de datos con ellos será considerado una transferencia internacional de datos.

Es decir, si pasados los primeros seis meses del año 2021 y mientras no haya un acuerdo entre el Reino Unido y el Espacio Económico Europeo, el tratamiento de datos realizado por empresas británicas no estará sujeto al RGPD (a no ser que tengan sede en territorio del Espacio Económico Europeo, o traten datos de ciudadanos europeos).

En esa situación, como usuario, el Brexit no tiene por qué afectarnos en los casos en que hayamos confiado nuestros datos a empresas británicas, ya que estas empresas deberán cumplir con el RGPD igualmente.

La duda se plantea en si podremos seguir intercambiando datos con empresas y organizaciones del Reino Unido, en las mismas condiciones que ahora. La respuesta es clara: no, y por ello debemos buscar las fórmulas que se establecen en el Reglamento General de Protección de Datos para las transferencias internacionales de datos. Recordemos que las transferencias internacionales pueden ser realizadas cuando se hayan asegurado y comprobado un nivel de protección de las personas físicas, en el país destino, de la siguiente forma:

Cuando las transferencias se basen en una decisión de adecuación, dictada por la Comisión Europea. Ejemplos de países que han sido objeto de esta decisión de adecuación son Andorra, Nueva Zelanda, Uruguay o el caso más reciente, Japón.
Si el país objeto de la transferencia no ha sido objeto en base a una decisión de adecuación, se podrán transferir los datos si se cumplen las siguientes garantías:
- Cuando exista un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
- Cuando existan normas corporativas vinculantes.
- Utilizar las cláusulas tipo de protección de datos que la Comisión Europea pone a disposición de las empresas y organizaciones. Dichas cláusulas tipo también podrán ser adoptadas por una autoridad de control como la Agencia Española de Protección de Datos, pero deberá ser aprobado por la Comisión.
- Cuando existan códigos de conducta, que incluyan compromisos vinculantes y exigibles al responsable o al encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
- Si existen mecanismos de certificación, en la línea anteriormente comentada.

Si no existe una decisión de adecuación o garantías, se podrán transferir los datos si se cumplen algunos de los requisitos que se detallan en el artículo 49 del RGPD:
- El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos.
- La celebración y/o ejecución de un contrato o medidas precontractuales adoptadas por el interesado, o en interés del interesado.
- La formulación, el ejercicio o la defensa de reclamaciones.
- Proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
- La transferencia se realice por razones importantes de interés público o
- Se efectúe desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Otro cambio será que, las empresas británicas que estén sujetas al RGPD y que no cuenten con una sede en el territorio del Espacio Económico Europeo, deberán designar un representante en la Unión Europea, según lo establecido en el artículo 27 del RGPD. En concreto, está sujeto a esta obligación todo responsable o encargado del tratamiento del ámbito privado que realice tratamiento de datos no ocasional, a gran escala de categorías especiales de datos, a gran escala de datos relativos a condenas e infracciones penales, y que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas. El representante, que deberá estar establecido en la UE, actuará de punto de contacto del responsable o encargado con los interesados y con las autoridades de control correspondientes.

Otro punto que deberemos tener en cuenta en los tratamientos transfronterizos es la Ventanilla única. A modo recordatorio, el mecanismo de ventanilla única prevé que haya una única autoridad principal de protección de datos, en los casos en que una entidad realice tratamiento de datos en varios países de la UE. Pues bien, como es lógico, una vez pasados los plazos, el Reino Unido dejará de pertenecer a este sistema de ventanilla única.

Así pues, mientras el Reino Unido no sea incluido en una decisión de adecuación por parte de la Comisión Europea, recomendamos analizar los flujos de datos hacia y desde el Reino Unido para, posteriormente, redactar las cláusulas contractuales estándar con las empresas u organizaciones necesarias. Obviamente la elaboración y aprobación de normas corporativas vinculantes se antoja un proceso complicado y largo, cuyo final muy probablemente será posterior al momento de la decisión de adecuación.

Y no olvidemos cumplir con el principio de transparencia e informar a los afectados, a través de cláusulas de información y consentimiento modificadas a tal efecto, bien actualizando los contratos con nuestros clientes.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en la materia.

Adriana Legnani

Consultora en materia de protección de datos y seguridad de la información

Adecuación Protección Datos, RGPD

Cookie	Nombre	Finalidad / Más información	Vencimiento
	419ª6F17ACB 2CAC9810D93 1150D119930	Esta cookie es un identificador de sesión proporcionado por el servidor.
	cookieaccept	Almacena la aceptación de la instalación de cookies por parte del usuario para no mostrar repetidamente el mismo mensaje.	1 año
Google Analytics	_utma	PROTECCIÓN DE DATOS DATAX, SL apoya el uso de Google Analytics en el sitio web para poder hacer un seguimiento de la actividad realizada en él.	2 años
	_utmb	Las cookies de Google Analytics recopilan información de registro estándar y datos sobre los hábitos de los visitantes de forma anónima.	30 minutos
	_utmc	Determina si es necesario establecer nueva sesión	Sesión
	_utmt	Se utiliza para procesar el tipo de solicitud requerida por el usuario.	Sesión
	_utmz	Almacena el origen del visitante y el camino que ha seguido para acceder a la web	6 meses
	_ga	Se usa para distinguir a los usuarios.	2 años
	_gat	Se usa para diferenciar entre los diferentes objetos de seguimiento creados en la sesión. La cookie se crea al cargar la librería javascript y no existe una versión previa de la cookie _gat. La cookie se actualiza cada vez que envía los datos a Google Analytics.	10 minutos
Cookies google.com	PREF	El uso de servicios de localización como Google Maps implica la instalación de estas cookies	2 años
	APISID	Se utilizan para recordar preferencias del usuario durante su navegación.	2 años
	SAPISID		2 años
	SSID	También para el recuento, por parte de Google, del número de usuarios que utilizan los mapas	2 años
	NID	Para hacer la publicidad más atractiva	6 meses
	HSID, SID	Y para proveer de mecanismos de seguridad que eviten el acceso no autorizado a datos de acceso de usuarios o la información que éstos facilitan en formularios de contacto.	2 años
Cookies de Facebook	Lu, cuser, csm, fr, s, xs	Sus finalidades están descritas en www.facebook.com/ help/cookies
Account Google	GAPS, LSID, LSOSID, UTMA, UTZ	Herramienta de Google+ a través de botones de acción para permitir al usuario compartir contenido a través de Google+. Estas cookies permiten a Google autenticar si se comparte el sitio con este botón. Más información sobre las cookies de Google en www.google.com/intl/es/ policies/technologies/types (castellano)
APIS GOOGLE		Estas cookies de Google Maps registran el origen del usuario, así como las keywords. También se genera un prefijo único, que es el que se utiliza para hacer recuento de cuantas veces visita el sitio un usuario www.google.com/intl/es/ policies/technologies/types (castellano)

Consultoría especializada en Protección de Datos y Seguridad de la Información

ÁREA CLIENTE EN CONSTRUCCIÓN.

Protección de Datos

Transferencia de datos al Reino Unido después del Brexit

Deja un comentario Cancelar respuesta