PUBLICIDAD
PUBLICIDAD

Reino Unido y la Unión Europea buscan un acuerdo que salvaguarde las transferencias internacionales de datos

Reino Unido y la Unión Europea buscan un acuerdo que salvaguarde las transferencias internacionales de datosEn estos momentos la Comisión Europea tiene un borrador de Acuerdo de Decisión que puede marcar un antes y un después en esta materia.
|

En los últimos meses un tema clave que afecta a la transferencia internacional de datos es entender cómo queda la regulación de la protección de datos en Reino Unido tras el Acuerdo del ‘Brexit’.

En estos momentos la Comisión Europea tiene un borrador de Acuerdo de Decisión que puede marcar un antes y un después en esta materia. Es previsible que antes del verano haya una decisión al respecto.

En un encuentro organizado por la Asociación Profesional Española de Privacidad (APEP) -moderado por su vicepresidenta María Arias Pou– Cecilia Álvarez, directora de privacidad de Facebook para Europa, Oriente Medio y África, y Eduardo Ustarán, codirector global de la práctica de Privacidad y de Ciberseguridad del despacho internacional Hogan Lovells en Londres, analizaron el entorno que se avecina.

Cecilia Álvarez puso en contexto la situación y porqué son importantes las transferencias internacionales de datos en Reino Unido. Recordó que Schrmems II es una sentencia importante para entender dichas transferencias.

PUBLICIDAD
PUBLICIDAD

Destacó que las cláusulas contractuales tipo del Reglamento General de Protección de Datos (RGPD), como herramienta para la gestión de dichas transferencias, están siendo utilizadas por muchas empresas mientras se llega a un acuerdo entre las partes.

Casi el 75% de las empresas europeas utilizan dichas cláusulas. También en Reino Unido muchas compañías estaban utilizando estas cláusulas al igual que EEUU. Al mismo tiempo se sabe que un 94% de dichas transferencias son a EEUU”, comentó.

Álvarez explicó que el 70% de las pymes utilizan estos instrumentos para realizar transferencias internacionales y ese porcentaje sube cuando la empresa es más grande porque su interacción internacional es mayor.

Esta jurista subrayó que “las transferencias internacionales son importantes en un entorno global. Ahora habrá que ver como quedan tras el ‘Brexit’”.

PUBLICIDAD

Vivimos un mundo global donde la economía del dato es importante y estamos interconectados a través de varias garantías adecuadas”, afirmó.

¿Cómo se reconduce la relación con Reino Unido?

En este debate entre estos dos expertos en privacidad, Eduardo Ustarán, desde Londres, comentó que “en el mundo en el que vivimos no es fácil gestionar la transferencia de datos. Hay que resolver cualquier restricción de este tipo”.

Desde su punto de vista, “a pesar del ‘Brexit’ y de cualquier motivación política, lo que va a imperar en el Reino Unido es que continúe la libertad de movimiento de datos que ha existido con la UE hasta ahora”.

PUBLICIDAD

A su juicio, el Reino Unido va a encaminar su actividad a que esas transferencias de datos continúen entre la UE y este país y el Reino Unido y el resto del mundo.

Sin embargo, “parte del razonamiento del ‘Brexit’ es diferenciarse de la UE. Reino Unido tiene que ver cómo conseguir el mejor de todos los mundos posible, en el sentido de mantener la libertad de movimiento de datos con la UE y al mismo tiempo beneficiarse de la oportunidad de estar fuera de la UE”.

PUBLICIDAD

Borrador de acuerdo con la UE

Hace unos días saltó la noticia de que la UE había aprobado un borrador de acuerdo de decisión de nivel adecuado respecto a Reino Unido. Es un hito relevante que estos expertos comentaron en este debate.

Cecilia Álvarez subrayó que “hay dos declaraciones de adecuación, uno sobre el sistema de datos comerciales, en cuanto a la adaptación de la ley inglesa en el RGPD. Y hay otra declaración de adecuación con la implementación en la normativa inglesa de la directiva de ‘law enforcement’, otra normativa que deja un margen de discreción que el propio RGPD”.

A su juicio, “los dos documentos son importantes. Se ha hecho un esfuerzo por parte de la Comisión Europea para que estos documentos vayan adelante. Recuerda en ese informe que Reino Unido fue un estado miembro. Poco tenemos que enseñar a Reino Unido en democracia y privacidad a estas alturas”, apuntó.

PUBLICIDAD

Por su parte, Ustarán indicó que “siempre lo tenido bastante claro. Que Reino Unido iba a recibir la decisión de adecuación. El último año fue trepidante en este sentido. A nivel objetivo, sin entrar en la política del Brexit, desde un punto de vista legal, los criterios de adecuación están claros y se pueden describir de forma elaborada pero es cuestión de dos factores”.

Para este experto, el primero “se basa que el marco legislativo del país sea equivalente a la normativa europea. En este caso es el mismo. La ‘Data Protección Act’, ley inglesa, tiene 400 referencias al RGPD”.

“Y el segundo criterio mas polémico es en cuanto a los controles que se establezcan para que el sector público no pueda tener de acceso a los datos. Este es un tema que la Comisión Europea le dedica atención. Los controles democráticos se trabajan a diario y es bueno que existan para que las autoridades no se exceden en su cometido”.

A juicio de este experto “está garantizada la decisión de adecuación aunque hay que dar pasos formales. Creo que antes del verano habrá una decisión que se revisará cada cuatro años. Creo que mantendrá el ‘status quo’ en este contexto”.

¿Puede hablar un Plan B?

Para cuando no hay esa adecuación, estos expertos recomendaron algunos consejos a empresas o pymes. Las empresas necesitan un Plan B por si no hubiera acuerdo entre UE y Reino Unido.

Sobre esta cuestión, Álvarez indicó que “me parecería increíble que no se logre la adecuación. Nos tendríamos que preguntar si hay que cambiar el RGPD en ese punto. Creo que este punto lo comparten otros expertos y autoridades de protección de datos”.

Hay otro elemento que destacó sobre el efecto del ‘Brexit’, “uno de los efectos es que ya no estará sujeto al Comité Europeo de Protección Datos ni a otras entidades ni con la jurisprudencia del TJUE”.

“Eso es importante. Con la misma norma puedes tener una interpretación no idéntica”, advirtió.

Álvarez señaló que los ingleses son pragmáticos en protección de datos, “no solo son el flujo de datos de carácter personal sino también hay otros elementos muy a tener en cuenta».

Cecilia Álvarez, directora de privacidad de Facebook para Europa, Oriente Medio y África.

Recordó que el ICO, autoridad de protección de datos británica, a diferencia de otras autoridades, tienen la obligación constitucional de revisar el impacto económico de sus decisiones.

Esta jurista cree “que es un derecho dual, derecho de protección de datos como derecho fundamental pero que es un activo comercial. Hay que tener una visión más equilibrada desde esta perspectiva”.

«Si se busca un Plan B, un análisis desapasionado, sobre el uso de otros instrumentos que tiene el RGPD no solo como las salvaguardas, sino las derogaciones, no serán miradas con la misma forma y criterios, siempre que tengas en mente la protección efectiva del derecho. Eso es lo que buscamos con este derecho fundamental”.

Por su parte, Ustarán indicó “no será necesario en realidad tener un contrato de cláusulas tipo para la transferencia de la UE a Reino Unido, pese a que nos hemos pasado un año entero asesorando a clientes que los clientes tuvieran ese plan B”.

A juicio de este experto, “creo que hay que volver al plan A, los métodos de legalizar y de poder realizar estas transferencias son los mismos. La diferencia se verá con los años”.

Y recordó que en teoría el Reino Unido ya no esta sujeto a la jurisprudencia del TJUE ,en teoría, la decisión de Schrems II no se debería aplicar. Lo más realista es que durante un periodo de tiempo se aplique».

«De esa forma si tienes una empresa en Reino Unido y quieres transferir datos a otra jurisdicción que no sea adecuada, debes hacer lo que haces en cualquier otro país europeo”.

Para Ustarán “la diferencia que el ICO aplicará el criterio práctico a la hora de interpretar qué mecanismos de protección se pueden poner en práctica, bien mecanismos contractuales o de normas vinculantes o aquellos disponibles, para que esas transferencias de datos sean posibles”.

Para este jurista, lo menos acertado del caso Schrems, fue cuando algunas autoridades de protección de datos señalaron que los datos no podían salir de Europa. «Eso no es correcto y no lo dijo el tribunal”.

“La ley señala que los datos sean protegidos y no retenidos en Europa. Esperamos que la visión práctica impere en Reino Unido”. Reino Unido evolucionará hacia ese escenario, aclaró.

Eduardo Ustarán, codirector global de la práctica de Privacidad y de Ciberseguridad del despacho internacional Hogan Lovells en Londres.

En este debate se habló que el organismo regulador británico es defensor de las normas corporativas vinculantes que tienen mucho desarrollo, puede ser otra forma de gestionar las transferencias internacionales de datos.

Ustarán comentó que “Reino Unido fue un pionero en la adopción y desarrollo de este tipo de normas. El hecho que de que este instrumento este reconocido por el RGPD es un gran logro en sí”.

Ahora habrá que ver cómo funcionan estas normas en el postBrexit. “Creo que Reino Unido y el ICO tendrán que adoptar un posicionamiento práctico para que la adopción de este tipo de mecanismos y su desarrollo no disminuya, sino que crezca”.

Para este experto, “es una forma de proteger los datos desde un punto de vista global, que es d lo que se trata”.

A su juicio, las normas han ido evolucionado en Europa y su proceso de adopción se ha simplificado, «es factible que el ICO busque una manera de confiar en las empresas que toman esta decisión estratégica de protección de datos”.

Desde su punto de vista cree que “las agencias de protección de datos como ICO tienen que apoyar y confiar en este instrumento. Creo que el Reino Unido irá en esa dirección en esa forma de actuar”.

Para Álvarez, “Reino Unido ha ganado en agilidad con el uso de dicha herramienta. Se trata de ayudar a que las empresas tuvieran un único interlocutor con todas las autoridades de protección de datos”, apuntó.

«Con el Brexit, esto ha desaparecido, con lo cual la agilidad será mayor. Ahora podrán aprobarlo más rápidamente porque no tienen que ponerse de acuerdo con nadie”, remarcó.