30 de diciembre de 2020

BREXIT: implicaciones en protección de datos (I)

El 24 de diciembre de 2020 será recordado como el día en el que se cerró el Acuerdo Comercial y de Cooperación entre el Reino Unido y la Unión Europea (en adelante, el “Acuerdo”), que regula sus relaciones a partir del 1 de enero de 2021.

En el ámbito de protección de datos, este Acuerdo evita que se considere al Reino Unido como un tercer país desde el inicio de 2021 o, lo que es lo mismo, que toda transmisión de datos desde la UE al Reino Unido se considere una transferencia internacional de datos.

El Acuerdo incluye una disposición que prorroga temporalmente el statu quo actual, si bien en los próximos meses viviremos un nuevo episodio que, esperemos, permita pasar del contexto actual de transitoriedad a un escenario de estabilidad y seguridad jurídica.

Resumimos a continuación las principales implicaciones del Brexit en el ámbito de protección de datos:

Período transitorio

Desde el 01/01/2021 y hasta el final del período transitorio acordado, la transmisión de datos personales desde la UE al Reino Unido no será considerada una transferencia internacional de datos, siempre que el Reino Unido no modifique de forma sustancial su actual marco normativo de protección de datos sin el acuerdo de la UE. 

Es decir, durante el período transitorio nada cambia en las transmisiones de datos desde la UE hacia el Reino Unido: el flujo de datos sigue siendo libre y el Reino Unido no será considerado un tercer país a efectos de protección de datos. Así lo confirma la declaración emitida por la autoridad de control británica (ICO), que puedes leer aquí

Inicialmente, el período transitorio durará 4 meses a partir del 01/01/2021, si bien podrá prorrogarse otros 2 meses salvo oposición de cualquiera de las partes. 

No obstante, el período transitorio podrá acortarse en el caso de que durante su vigencia la Comisión Europea adopte una decisión de adecuación con respecto al Reino Unido al amparo del art. 45 del RGPD. En tal caso, el período transitorio finalizaría en la misma fecha de adopción de la decisión de adecuación.  

Como hemos indicado, la condición a la que queda sujeta la prórroga acordada es que el Reino Unido no modifique su normativa interna de protección de datos (básicamente, el Data Protection Act de 2018), sin el acuerdo de la UE o de forma no alineada con el RGPD. Si se diera este improbable escenario, el período transitorio finalizaría en la fecha en que se adoptasen tales cambios en la normativa del Reino Unido. 

Fin del período transitorio 

El período transitorio durará como máximo 6 meses, abriéndose a su finalización 2 posibles escenarios: 

Escenario 1: decisión de adecuación 

Se trata del escenario más probable y el único que garantiza la continuidad del libre movimiento de datos entre la UE y el Reino Unido. Es también la solución más lógica teniendo en cuenta que el marco normativo de protección de datos en el Reino Unido es similar al de la UE y que dispone de una autoridad de control independiente (el ICO), que hasta el 31/12/2020 forma parte del Comité Europeo de Protección de Datos. 

En caso de confirmarse la decisión de la Comisión Europea en el sentido de que el Reino Unido garantiza un nivel de protección adecuado, las transmisiones de datos desde la UE al Reino Unido podrán realizarse libremente. Eso sí, en este escenario las transmisiones de datos amparadas en la decisión de adecuación se considerarán transferencias internacionales de datos, por lo que los operadores europeos que las realicen deberán: 

  • Reflejar las transferencias de datos identificadas en el Registro de las actividades de tratamiento.
  • Actualizar las cláusulas informativas, políticas de privacidad y demás documentación interna involucrada, en lo relativo a las transferencias al Reino Unido y la existencia de una decisión de adecuación. 

Escenario 2: ausencia de decisión de adecuación

Este escenario es más improbable y desde luego más incierto, ya que probablemente daría lugar a nuevas negociaciones entre las partes de consecuencias imprevisibles. No obstante y con todas las prevenciones, esta situación conllevaría la necesidad de tener que amparar las transmisiones de datos de la UE al Reino Unido en base a mecanismos alternativos previstos en el RGPD, como son:

  • las garantías adecuadas del art. 46 (ej.: cláusulas contractuales tipo o normas corporativas vinculantes);
  • en su defecto, alguna de las excepciones para situaciones específicas establecidas en el art. 49 RGPD (como el consentimiento explícito del interesado o la ejecución de un contrato);
  • o, de no ser aplicable ninguna de las anteriores, intereses legítimos imperiosos del responsable del tratamiento que prevalezcan sobre los derechos y libertades del interesado (sobre los que deberá informar al interesado y a la autoridad de control).

Transferencias desde Reino Unido a la UE

Hasta ahora hemos hablado de las consecuencias del Brexit para los operadores españoles y europeos que transmitan datos al Reino Unido, pero lógicamente el flujo de datos es bidireccional.

A este respecto, el Gobierno del Reino Unido ha anunciado que las transferencias de datos desde su territorio a la Unión Europea continuarán realizándose a partir del 01/01/2021 sin restricciones, al considerar de forma transitoria que la UE garantiza un nivel de protección adecuado (“The UK has, on a transitional basis, deemed the EU and EEA EFTA States to be adequate to allow for data flows from the UK[1]). 

Otras implicaciones del Brexit 

  • La retirada del Reino Unido de la UE conlleva que el RGPD deja de ser norma aplicable en el Reino Unido. No obstante, recordemos que de acuerdo al art. 3.2 del RGPD, un operador británico deberá cumplir el RGPD si realiza tratamientos de datos con motivo de la oferta de bienes o servicios a interesados que se encuentren en la UE o derivados del control de su comportamiento. 
  • Los operadores británicos no establecidos en la UE a los que sea aplicable el RGPD en base a su art. 3.2 antes citado, deberán nombrar por escrito un representante en la UE, salvo que únicamente realicen tratamientos ocasionales que no incluyan el manejo a gran escala de categorías especiales de datos o datos relativos a condenas e infracciones penales, y sea improbable que entrañen un alto riesgo para los derechos de los interesados. 
  • En correspondencia, el ICO ha anunciado que los operadores del Espacio Económico Europeo no establecidos en el Reino Unido, pero que dirijan su oferta de bienes o servicios a interesados que se encuentren en dicho territorio o controlen su comportamiento, también deberán designar por escrito un representante en el Reino Unido, salvo en los mismos supuestos mencionados en el apartado anterior. 
  • A partir del 01/01/2021, el ICO deja de formar parte de las autoridades de control de la UE, por lo que no le será aplicable el mecanismo de ventanilla única previsto en el art. 60 RGPD. 

En definitiva, el Brexit se cierra, pero no del todo con el nuevo período transitorio. Toca, por tanto, analizar los flujos de datos hacia y desde el Reino Unido para adaptarse a la era post-Brexit.

De lo que suceda durante y a la finalización del período transitorio, informaremos en el blog de DATUSLEX con un nuevo post.