✔ El Reino Unido salió oficialmente de la Unión Europea el 31 de enero de 2020. Sobre la base del Acuerdo de Retirada, que han ratificado tanto la Unión Europea como el Reino Unido, es de aplicación un período de transición durante el cual la legislación de la UE seguirá aplicándose en el Reino Unido durará hasta el 31 de diciembre de 2020. En el presente artículo analizaremos la relación entre Brexit y protección de datos una vez producida la retirada del Reino Unido de la Unión.

El problema que suscitará a los responsables y encargados europeos tras el Brexit será la necesidad de aplicar garantías adicionales a las transferencias de datos al Reino Unido. Recordamos que, tal y como se venía aplicando en territorio británico hasta su salida, el tratamiento transfronterizo de datos en el Espacio Económico Europeo no se considera transferencias internacionales de datos sujetas a determinadas garantías. 

La retirada del Reino unido de la Unión Europea significa su consideración como «tercer país», respecto a la transferencia internacional de datos. El «Reglamento General de Protección de Datos» señala que solo se realizarán transferencias de datos personales que sean objeto de tratamiento, o vayan a serlo, tras su transferencia a un tercer país u organización internacional si el responsable o el encargado del tratamiento cumplen las condiciones establecidas en la normativa, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Una de las garantías que señala la normativa es la transferencia basada en una decisión de adecuación. A la espera que el Reino Unido se sume a la lista de los trece estados cuya legislación es apta para la transferencia – ya que es intención del gobierno británico implementar el RGPD en su normativa nacional– los responsables europeos deberán aplicar ulteriores garantías, como:

  • Cláusulas contractuales tipo: la Comisión ha adoptado tres conjuntos de cláusulas modelo que están disponibles en el sitio web de la Comisión.

  • Normas corporativas vinculantes: normas de protección de datos legalmente vinculantes aprobadas por la autoridad competente en materia de protección de datos que se aplican dentro de un grupo de empresas.

  • Códigos de conducta aprobados junto con códigos vinculantes y aplicables compromisos del Responsable o encargado.

  • Mecanismos de certificación aprobados, junto con los compromisos vinculantes y exigibles compromisos del Responsable o encargado.

¿Aún dudas cual es el cumplimiento normativo legal que afecta a tu empresa?

☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

Representante europeo en relación con el Brexit y protección de datos

El RGPD señala, en su artículo 27, que cuando el responsable se halle fuera del EEE deberá nombrar un representante en la Unión. El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado. El responsable o el encargado del tratamiento encomendará al representante que atienda, junto a este a las consultas de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento.

¿Necesitarán los Responsables británicos un representante en los países del EEE? A tenor de lo señalado por The Information Commissioner’s Office, no será necesario hasta el final del periodo de transición. Sin embargo, es posible que necesite nombrar un representante a partir del final del período de transición si está ofreciendo bienes o servicios a personas en el EEE o vigilando el comportamiento de las personas en el EEE.

Como los responsables británicos ya no se encuentran ubicados dentro del EEE, la normativa exige que nombren un representante. Este representante deberá estar establecido en un estado de la UE o del EEE donde se encuentren algunas de las personas cuyos datos personales esté procesando de esta manera. Deberán autorizar al representante, por escrito, a actuar en su nombre en lo que respecta al cumplimiento del RGPD, y a tratar con cualquier autoridad de supervisión o los interesados.

Tratamiento transfronterizo en relación con el Brexit y protección de datos

El tratamiento transfronterizo en el RGPD es el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un «estado miembro» de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o se encuentra en un único estado y afecta sustancialmente a más de un «estado miembro». Ello desemboca en el sistema de «ventanilla única», el mecanismo que garantiza la que garantiza la cooperación entre las autoridades de protección de datos para el tratamiento transfronterizo.

Una vez retirado el Reino Unido de la UE, los responsables que realizaban este tratamiento dejarán de realizarlo. Ello significará que el sistema de ventanilla única dejará de aplicarse, con lo que la autoridad de supervisión aplicable será únicamente la del interesado del Estado miembro que el responsable británico mantenga relaciones.

Conclusiones

El Brexit ha conllevado diferentes consecuencias relativas a la normativa sobre protección de datos. La salida del Reino Unido comporta una serie de obligaciones que afectan tanto a los responsables británicos como a los europeos. Estas obligaciones deben tenerse en cuenta antes y después del 31 de diciembre de 2020, para que los responsables europeos estén preparados para afrontar los mencionados cambios, en especial a la obligación de aplicar las garantías necesarias cuando los responsables transfieren datos al Reino Unido. 

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

Derecho a la portabilidad en el RGPD
Excepciones al deber de información en el RGPD
Brechas de seguridad en el RGPD