PUBLICIDAD
PUBLICIDAD

Brexit: Claves para adaptar la actividad de protección de datos con empresas del Reino Unido

|

En el mes en el que el Brexit probablemente se haga efectivo y el Reino Unido pase a ser país tercero de la Unión Europea (UE) y el Espacio Económico Europeo (EEE),  los expertos recuerdan que las comunicaciones de datos personales a dicho país serán consideradas como transferencias internacionales de datos.

Ante el panorama de incertidumbre que se respira ante la votación prometida por Reino Unido del 12 de marzo, aún se desconocen las consecuencias que el Brexit tendrá para la Unión Europea (UE) y, con ellas, la manera en la que la salida británica podría afectar a la protección de datos.

PUBLICIDAD

Por ello, hemos pedido a expertas como Ruth Benito, «of counsel» de privacidad y protección de datos del despacho Elzaburu,Natalia Martos, socia directora de Legal Army, sus consejos profesionales para poder gestionar bien esa nueva relación que surge con nuestros partners o clientes ubicados en el Reino Unido..

PUBLICIDAD

Ambas expertas coinciden en que con la llegada del Brexit, las comunicaciones de datos personales a dicho país pasarán a ser consideradas como transferencias internacionales de datos (TID), al pasar a ser un país tercero de la UE y del EEE.

Ruth Benito subraya que el Reglamento General de Protección de Datos (RGPD) es actualmente la normativa más estricta en materia de privacidad a nivel mundial.

PUBLICIDAD

De ello se deriva que, en caso de que los datos se envíen a un país fuera del Espacio Económico Europeo, los niveles de seguridad y garantías disminuyen considerablemente. Como regla general no se permiten esos flujos de datos a países terceros, aunque hay una serie de excepciones.

“En primer lugar, si el país de destino de los datos cuenta con una ‘decisión de adecuación’ estaríamos ante uno de estos supuestos”, añade.

La Comisión Europea, tras estudiar la normativa de privacidad del país, considera que reviste las garantías suficientes para estar acorde al nivel europeo, como ha sido el reciente caso de Japón el pasado 24 de enero.

PUBLICIDAD
Ruth Benito, «of counsel» de privacidad y protección de datos del despacho Elzaburu.

TRES SUPUESTOS

Sin embargo, aunque el Reino Unido ha adaptado su legislación nacional al Reglamento europeo de Protección de Datos (el RGPD), el Comité Europeo de Protección de Datos (CEPD, el antiguo Grupo de Trabajo del artículo 29) ya apunta que, a día de hoy, no cuenta con tal decisión de adecuación y lo cierto es que su tramitación puede llevar un tiempo precioso durante el que no se pueden paralizar los flujos de datos al Reino Unido.

El segundo supuesto sería que se hayan adoptado garantías adecuadas.

PUBLICIDAD

Incluso si el país de destino no cuenta con una decisión de adecuación, se puede habilitar la transferencia de datos si se cuenta con alguna de las garantías que la avalan; como pueden ser cláusulas tipo, normas corporativas vinculantes (BCR) o códigos de conducta y mecanismos de certificación, una novedad introducida por el RGPD que entró en vigor el pasado 25 de mayo.

“El tercer supuesto sería que resulte aplicable algunas de las excepciones tasadas. El RGPD deja algo de margen, estableciendo que, aun cuando la TID esté dirigida a un destino que no se considere seguro, ni tampoco se haya blindado la comunicación con garantías adecuadas, se podrá llevar a cabo en caso de que se pueda amparar en algunas de las situaciones excepcionales que contempla”, explica Ruth Benito.

De esta suerte, aun cuando el Reino Unido no lograra alcanzar un acuerdo antes de su marcha definitiva, o si dicho acuerdo no contempla previsiones en materia de protección de datos, no conllevaría necesariamente el aislamiento de flujos de datos personales de la UE.

ANTICIPARSE A LOS ACONTECIMIENTOS 

Para Natalia Martos, «en el momento que se consume el Brexit el Reino Unido se convertirá en un tercer estado que no pertenece a la UE. Tendrá que pedir a Bruselas que sea considerado como un Estado como el mismo nivel de protección sobre privacidad y datos personales que existe en la UE. El problema está en el periodo transitorio de esta situación”.

A juicio de esta experta hasta que llegue ese reconocimiento las empresas del Reino Unido pueden adherirse a las cláusulas contractuales tipo de la UE que ayudarán a mantener la relación de proveedores y terceros en la transferencia internacional de datos que se haga en este tipo de situaciones”.

PUBLICIDAD

Sobre ese periodo transitorio todo depende de la burocracia de la UE y el propio Comité Europeo de Protección de Datos, donde el regulador nacional británico ICO dejará de forma parte de este grupo de trabajo.

Sobre estas líneas, Natalia Martos, socia directora del despacho Legal Army.

“Como país, esperamos que sigan siendo defensores de la privacidad y lo mantengan de forma estricta. Ahora Reino Unido tendrá que trabajar su norma nacional para regular cualquier relación con los datos personales”, advierte.

Se da la paradoja de que Reino Unido fue de los países que más influyo en la redacción del actual Reglamento Europeo de Protección de Datos (RGPD).

En opinión de esta experta, «es posible que asistamos a un modelo similar de transferencia internacional de datos como el que tiene EEUU con la UE o con Japón. No extrañaría que se impulsase algo similar a Privacy Shields a nivel Reino Unido y UE para lograr la homologación del país de que cumple esas garantías y derechos. Parece desde fuera la solución más rápida para resolver las dudas y controversias existentes”.

El problema radica en proteger en ese periodo transitorio hasta que Reino Unido sea un país adecuado para la UE.

“Cualquier actividad de protección de datos que se realice en dicho periodo de tiempo. En ese momento es como si hubiera un régimen jurídico distinto. Por eso hablamos de suscribir las cláusulas contractuales tipo, ya aprobadas por la UE y que no requieren la intervención de ningún regulador o tener en el caso de España, autorización de la AEPD para cualquier transferencia internacional de datos”, dice.

TRABAJAR EL NUEVO ESCENARIO

Desde Legal Army se recomienda trabajar ya con antelación en el nuevo escenario que tendremos con motivo de la salida del Reino Unido de la UE.

Nuestras recomendaciones pasan revisar todas las relaciones profesionales que tengamos con empresas del Reino Unido. Ver que tipo de relaciones tienen ellos  con nuestra base de datos de la que somos responsables. Se trata de evitar cualquier contingencia legal que surja a partir del próximo 29 de marzo y así estar cubierto por el Derecho de la UE”.

Este despacho ha desarrollado un Manual de adaptación al RGPD. En uno de los capítulos es el que habla de las Transferencias Internacionales.

“Recogemos todas las existentes, no solo como un flujo de datos sino que también todas las cláusulas tipo o el proceso que se ha seguido para legitimar esa transferencia”, explica su socia directora.

En este ejercicio de revisión también la empresa puede seleccionar si tras la adaptación al RGPD puede ser el momento para hacer una criba de proveedores y clientes.

“En un principio parecen más perjudicadas por esta salida y el periodo transitorio que surja las propias empresas del Reino Unido. En principio, los partners  de estas empresas buscarán trabajar con empresas europeas que ofrezcan el mismo servicio, con lo que algunos negocios del propio Reino Unido se verán parados”, remacha Martos.