Brexit y protección de datos

Brexit y protección de datos

El proceso de salida de Reino Unido de la Unión Europea (Brexit) culminó el 1 de enero de 2021 y será considerado como “país tercero” que se encuentran fuera del territorio de la Unión, con las consecuencias que ello conlleva en materia de protección de datos, principalmente en lo referente a las transferencias internacionales de datos.

Acuerdo EU – UK

El Acuerdo entre el Reino Unido y Europa (UK-EU Trade and Cooperation Agreement), en su punto 176, dice lo siguiente:

El Reino Unido y la UE han reafirmado su compromiso con estándares más elevados en materia de protección de datos personales, que contribuyen a la confianza en la economía digital y a el desarrollo del comercio y son un elemento clave para la aplicación legalmente efectiva del acuerdo de cooperación.

Actualmente, Reino Unido cuenta con su propia normativa en materia de protección de datos, DATA PROTECTION ACT 2018, donde su Capítulo 5 habla de las transferencias de datos personales fuera de Reino Unido, las cuales no podrán realizarse, a no ser que la transferencia sea necesaria y proporcionada de acuerdo con las funciones legales del Responsable del tratamiento, o cuando esté relacionado con temas de seguridad nacional o servicios de inteligencia.

Sin embargo, y como en todo periodo de transición, se acordó un periodo de vactio legis, en donde las transferencias de datos entre el Reino Unido y Unión Europea seguirán como hasta ahora, bajo las reglas del RGPD, siendo ese periodo de 6 meses.

Si tiene relaciones con empresas o ciudadanos del Reno Unido

Es decir, hasta el 30 de junio de 2021 no veremos cambios sustanciales, pero será un periodo en donde las empresas que tiene relaciones comerciales con empresas inglesas, deberán ir adoptando medidas esenciales para continuar dicha relación comercial pasado el dead line.

¿Cuáles son esas medidas a adoptar por nuestras empresas situadas en España?

Las medidas que se deberán tomar son las siguientes, en relación con las transferencias internacionales:

Primero analizar y detectar si entre las actividades empresariales se encuentran transferencias de datos a Reino Unido.

En el caso de ser así, verificar a través de qué instrumento se realizaban dichas transferencias.

Frente a la nueva situación jurídica de Reino Unido, elegir una de las siguientes opciones para llevar a cabo las transferencias de datos:

  • Cláusulas de protección de datos estándar
  • Normas corporativas vinculantes
  • Mecanismos de certificación
  • Códigos de conducta
  • Instrumento jurídico vinculante y exigible entre las distintas autoridades

Que serían las mismas opciones establecidas por el RGPD en su artículo 46, en el caso de la invalidación del Escudo de Privacidad entre Unión Europea y Estados Unidos, por parte del Tribunal de Justicia de la Unión Europea (TJUE). 

Por otro lado, a nivel interno, las empresas en España, deberán solicitar a su Consultora de Protección de Datos o a su DPD, actualizar sus documentos en el siguiente tenor:

Analizar la necesidad de elaborar una Evaluación de Impacto

Actualizar su Registro de Actividades de Tratamiento

Actualizar el apartado de Transferencias y Cesión de Datos en las Políticas de Protección de Datos.

La gran novedad la impone la Agencia de protección de datos del Reino Unido (Information Commissioner´s Office, ICO) ya que obligará a toda empresa que ofrezca bienes o servicios a personas físicas en el Reino Unido, y que no tengan oficinas de representación o filiales con presencia física en el territorio británico, a nombrar a un representante en el Reino Unido, ello en cumplimiento a lo dispuesto en la norma Data Protection Act 2018.

Para nombrar a este representante en el Reino Unido, se tendrá que reunir los siguientes requisitos:

El nombramiento se hará a través de un contrato por escrito.

Se deberá señalar en dicho contrato que la persona actúa como representante de la empresa en el Reino Unido para todo aquello concerniente en materia de protección de datos.

Que la persona designada cuente con la formación específica en materia de protección de datos; una especie de Delegado de Protección de Datos (DPD / DPO).

Esta figura del representante debe quedar reflejada en las Políticas de Protección de Datos.

En todo este nuevo universo de cambios producidos por el Brexit, queda pendiente que la Comisión Europea califique al Reino Unido como un país que ofrece las garantías suficientes en materia de protección de datos, a efectos de evitar requisitos adicionales o excepcionales por falta de garantías.

Por tanto, habrá que estar atentos a como se resuelve este asunto y determinar posibles acciones adicionales.

Póngase en manos de expertos

Business Adapter® protección de datos en Valencia le ayuda: