Después de 3 años y medio, el Reino Unido está más cerca del Brexit, de hecho recientemente se ha aprobado el acuerdo de retirada en el Parlamento británico y está previsto la salida para el día 31 de enero de 2020. Antes de que eso ocurra, hoy vamos a explicar algunos fundamentos sobre protección de datos y las transferencias internacionales de datos personales.
Empecemos por el principio, ¿cuál es la normativa legal que regula el tema de los datos personales? Pues como muchos sabréis, desde el 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD) siendo la norma europea que regula el uso de los datos personales y su protección jurídica como un derecho fundamental.
El tema de la protección de datos ha tenido especial interés durante la negociación del acuerdo de retirada del Reino Unido, ya que ha sido uno de los primeros puntos tratados en la Declaración Política de fecha 17 de octubre de 2019 que regula el marco de la futura relación entre el Reino Unido y la Unión Europea. De hecho, en este documento se reconoce la importancia del flujo e intercambio de los datos personales entre el Reino Unido y el resto de estados miembros de la UE siendo la intención de ambas partes garantizar la seguridad y facilitar la transferencia de datos entre estos países.
Por lo que se refiere a la transferencia de datos del Reino Unido al Espacio Económico Europeo (en adelante, EEE) no supondrá ningún problema conforme a lo dispuesto en el RGPD. Asimismo, el gobierno del Reino Unido declaró que en este caso habría libre transmisión de datos, aunque estuviéramos ante Brexit sin acuerdo.
En este sentido, no habrá mucho impacto en el flujo de datos personales del Reino Unido a los países del EEE, dado que la adaptación de la normativa del RGPD es de obligado cumplimiento para todos los países miembros del EEE y pueden considerarse como “países receptores seguros”. En todo caso, hay que revisar esta circunstancia tras la salida del Reino Unido.
Aunque, si estamos ante una transferencia de datos del EEE al Reino Unido podría llegar a ser problemático en caso de Brexit duro.
Para entender esta situación, debemos explicar qué son las transferencias internacionales de datos. Éstos son flujos de datos personales a terceros países fuera del EEE, es decir, son intercambios de datos con países donde no se aplica el RGPD.
En estos casos, para que la transferencia entre estos países tenga suficientes garantías y no se imponga ninguna restricción, se podría adoptar una decisión de adecuación (entre otras medidas), ésta es una resolución emitida por la Comisión Europea que acredita que un determinado país que no forma parte de la UE tiene niveles de protección equivalentes en materia de datos personales.
En el supuesto particular del Reino Unido, una vez que deje formar parte de EEE, sería considerado como tercer país, por lo tanto, según la normativa europea de protección de datos estaría sujeta a un régimen de transferencias de datos más estricta y restrictiva – al no formar parte del EEE-, ya que a priori no cumple con los estándares europeos de transferencia de datos.
Actualmente, el Reino Unido no se ha sometido a una evaluación de adecuación en materia de protección de datos (y tampoco pasará ahora), ya que en todo caso, se trata de una decisión que es concedida después de la salida del mismo y no antes. Y, cabe señalar que es un trámite riguroso y que suele tardar años en finalizar.
De ahí que, de momento las transferencias de datos del EEE a Reino Unido estarán sujetas a mayores garantías y restricciones, al tratarse de un “país receptor sin los niveles de protección adecuados”.
Entonces, ¿qué instrumentos tenemos disponibles para realizar estas transferencias internacionales de datos? A continuación os lo explicamos:
Cláusulas tipo de protección de datos o ad hoc
Son contratos o cláusulas aprobadas por la Comisión Europea que especifican las garantías adecuadas y adicionales en materia de protección de datos en caso de transferencia de datos personales a un tercer país (por ejemplo, Reino Unido).
La Comisión Europea ha puesto a disposición de los interesados dichas cláusulas tipo de protección de datos que puede ser usados de forma individual y separada o incorporarse en un contrato más amplio. En caso de transferencias de datos entre responsables de tratamiento tenemos la Decisión 2001/497/CE (actualizada en parte por la Decisión 2004/915/CE). Y, para las transferencias entre responsables y encargados hay la Decisión 2010/87/UE.
Por otra parte, la autoridad de control del Reino Unido, ha lanzado una herramienta interactiva que te ayuda redactar y entender dichas cláusulas tipo según las necesidades de cada empresa que tenga que transferir datos personales.
Normas corporativas vinculantes
Son políticas internas de protección de datos personales que vinculan a un grupo de empresas (normalmente multinacionales o grandes organizaciones) y detallan las garantías que deben contemplarse en caso de transferencia de datos dentro del mismo grupo empresarial. Es importante destacar la necesidad de que dichas normas se vayan actualizando en función de las futuras reformas que pudiera haber respecto de la normativa de protección de datos.
Códigos de conducta y mecanismos de certificación
Estos dos instrumentos recogen las garantías adecuadas en materia de protección de datos en beneficio de las personas físicas aplicables a las organizaciones o empresas de un tercer país. A día de hoy, todavía no existen unas directrices armonizadas y unificadas dentro de la UE para la elaboración de estos instrumentos.
Instrumentos para autoridades y organismos públicos
De otro lado, las autoridades públicas pueden crear acuerdos administrativos o acuerdos internacionales bilateral y/o multilateral que regulan las transferencias de datos. Estos acuerdos son vinculantes y aplicables a las partes que se suscriben a los mismos.
Asimismo, también pueden crear “circulares de entendimiento”, que no son jurídicamente vinculantes, pero establecen los derechos de los interesados en materia de protección de datos.
Excepciones aplicables
Por último, de manera restrictiva, en el artículo 49 del RGPD permite la transferencia de datos sin que sea necesaria la utilización de los anteriores instrumentos, entre los supuestos destacamos los siguientes: consentimiento expreso del interesado, transferencia necesaria para la ejecución de un contrato, transferencia necesaria por razones de interés público o transferencia necesaria para la formulación, ejercicio o defensa de reclamaciones.
En definitiva, es importante que las empresas y entidades que transfieren o reciben datos personales de clientes, proveedores o colaboradores fuera del Reino Unido o incluso en el caso de intercambio de datos entre empresas del mismo grupo (que no esté en Reino Unido) deberían poner en marcha alguno de los instrumentos de transferencia de datos mencionados. Por otro lado, también se debería realizar las modificaciones y actualizaciones que sean necesarias en sus contratos y acuerdos en materia de protección de datos antes de la salida del Reino Unido.