La salida efectiva del Reino Unido de la Unión Europea el pasado 1 de enero de 2021, una vez finalizado el periodo transitorio, previsiblemente va a suponer algunos cambios importantes en materia de protección de datos que vamos a comentar en la presente entrada del Blog de Sothis.
Como parte del acuerdo comercial y de cooperación celebrado el 24 de diciembre de 2020, el Reino Unido y la Unión Europea acordaron que el reglamento europeo para la protección de datos personales (GDPR) seguirá siendo aplicable de manera transitoria en el Reino Unido. Tal y como ha declarado la Autoridad de Control Británica en materia de protección de datos (ICO) el Tratado acordado con la UE permitirá que los datos personales fluyan libremente desde la UE (y el EEE) al Reino Unido, hasta que se hayan adoptado decisiones de adecuación, durante no más de seis meses.
Qué pasara los 6 primeros meses
En este sentido, vemos que, durante los 6 primeros meses de 2021, nada cambia respecto a la situación anterior. Las organizaciones pueden confiar en el libre flujo de datos personales a partir del 1 de enero, sin tener que realizar ningún cambio en sus prácticas de protección de datos.
Reino Unido ha traspuesto el Reglamento Europeo de Protección de Datos (GDPR) a su regulación doméstica (Data Protection Act 2018), por lo que su normativa será muy similar a la de los países comunitarios.
Tal y como señala la ICO, como precaución sensata, antes y durante este período, se recomienda que las empresas que trabajen con las organizaciones de la UE y el EEE que les transfieren datos personales, que implementen mecanismos de transferencia alternativos, para protegerse contra cualquier interrupción del libre flujo de la UE al Reino Unido, o viceversa, sobre información concerniente a datos de carácter personal.
Decisión de adecuación
Al final de este período de 6 meses y en ausencia de una decisión de la Comisión Europea que autorice generalmente la transferencia de datos personales al Reino Unido conocida como la “decisión de adecuación”, cualquier comunicación de datos personales al Reino Unido se considerará una transferencia de datos a un tercer país, pero esperemos que durante estos 6 meses se aceleren las negociaciones.
En caso contrario, es necesario recordar que dichas transferencias solo se pueden realizar con el establecimiento de garantías adecuadas, según lo dispuesto por el GDPR (por ejemplo, cláusulas contractuales estándar, normas vinculantes de la empresa, etc.) y con la condición de que los ciudadanos de la unión europea europeos derechos exigibles y recursos efectivos, de conformidad con el artículo 46 del GDPR.
Otro de los cambios importantes, es que los responsables y encargados de tratamiento de datos establecidos solo en el Reino Unido y cuyas actividades de tratamiento están sujetas a la aplicación del GDPR en virtud del Artículo 3 (2) del GDPR, serán requeridos desde el 1 de enero de 2021 nombrar a un representante en la Unión de conformidad con el artículo 27 de GDPR.
Este representante podrá ser contactado por las autoridades supervisoras y los interesados sobre cualquier asunto relacionado con las actividades de tratamiento relativas a protección de datos, para garantizar el cumplimiento del GDPR.
Un nuevo panorama
Las futuras relaciones entre la Unión Europea y el Reino Unido, también en materia de protección de datos, deberán establecerse en los acuerdos que comienzan a negociarse a partir de la entrada en vigor del Acuerdo de Retirada, es decir el 1 de enero de 2021. Por lo que estaremos atentos a futuras novedades que puedan ser relevantes y de interés para manteros informados.
Si tras dichas negociaciones, se da el caso de que finalmente se produzca la declaración de adecuación mediante una decisión de la Comisión, como prevén la mayoría de los expertos, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito formal adicional, similar en la práctica a como se hace en la actualidad para comunicaciones de datos entre los Estados Miembro de la Unión Europea y Espacio Económico Europeo, por lo que simplemente habría que atender al nuevo requisito de nombrar un representante en la UE, para todas aquellas organizaciones establecidas en Reino Unido y que traten datos de ciudadanos de la UE y demás requisitos previstos en el artículo 3 (2) del GDPR.