Brexit vs. Protección de datos: fin del periodo transitorio

Brexit vs. Protección de datos: fin del periodo transitorio

¿Y ahora qué?

El 1 de febrero de 2020 Reino Unido salió de la Unión Europea iniciándose en ese momento un periodo transitorio que terminó el pasado 31 de diciembre de 2020, y que se desarrolló bajo la vigencia del llamado “Acuerdo de Retirada”. Este acuerdo estaba orientado hacia la opción de una salida ordenada –un brexit “blando”- y mantenía la aplicación del derecho comunitario hasta el final del citado periodo transitorio.

Colocando el punto de mira sobre la regulación en materia de protección de datos personales, el Acuerdo de Retirada implicó la extensión en la aplicación del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) en UK hasta el 31 de diciembre de 2020.

A fecha de hoy (ya finalizado el período transitorio) que consta de cuatro grandes bloques temáticos:

  • Acuerdo de Libre Comercio.
  • Marco de cooperación económica, social, medioambiental y en materia de pesca.
  • Asociación en materia de seguridad interior.
  • Marco de gobernanza común para el conjunto del Acuerdo.

El bloque referido al Acuerdo de Comercio, Transporte, Pesca y otras disposiciones (segunda parte del acuerdo) incluye un apartado relativo al comercio digital dirigido a facilitar el comercio electrónico seguro para las empresas y los consumidores, con altos niveles de protección de datos personales.

Concretamente, en materia de protección de datos personales, privacidad y flujos transfronterizos de datos, el acuerdo suscrito (vid. segunda parte, título III, capítulo 2. Artículos digit 6 y 7) implica el compromiso bilateral a la hora de garantizar las transferencias internacionales de datos personales para facilitar el comercio en la economía digital. Así se evita que una parte pueda: imponer a la otra el uso de recursos informáticos o elementos de red que estén certificados o aprobados en su territorio; la exigencia de localizar datos en el propio territorio para su almacenamiento o tratamiento; la prohibición de almacenar o, en general, llevar a cabo tratamientos en el territorio de la otra parte, o supeditar la transferencia de datos transfronteriza al uso de recursos informáticos o elementos de red en el propio territorio.

Sin perjuicio de lo anterior, hay que tener presente que el acuerdo suscrito no implica una decisión de adecuación para el Reino Unido. Esta es una cuestión que se ha dejado pendiente y probablemente la UE adoptará, o no, dicha decisión en función del resultado de la valoración de la aplicación del acuerdo a lo largo de los próximos tres años (plazo de revisión que está expresamente previsto). En consecuencia, las transferencias internacionales de datos con destino a UK tendrán que estar bajo la cobertura de alguno de los instrumentos de garantía previstos en el artículo 46 RGPD (siendo las cláusulas tipo el instrumento al que se recurrirá con más frecuencia) o de la aplicación de las excepciones establecidas en el artículo 49 RGPD.

Tanto la UE como Reino Unido reconocen que los individuos tienen derecho a la protección de los datos personales y la privacidad, y que unas normas estrictas a este respecto contribuyen a confiar en la economía digital y a desarrollar el comercio. No obstante, el Acuerdo de Comercio y Cooperación no impedirá que cualquiera de las partes pueda adoptar nuevas medidas sobre la protección de los datos personales y la privacidad, incluso, con respecto a las transferencias de datos transfronterizas, siempre que la legislación adoptada prevea instrumentos que permitan dichas transferencias en condiciones de aplicación general para la protección de los datos transferidos. No obstante, según lo acordado, cada una de las partes informará a la otra sobre las medidas que adopte o mantenga. En este sentido, interesa recordar que actualmente sigue vigente en UK la Data Protección Act (DPA 2018) que, a día de hoy, es acorde con RGPD. Pero, cabe preguntarse si dicha norma británica será modificada para separarse de esta alineación con el derecho comunitario.

En materia de ciberseguridad, el Acuerdo de Comercio y Cooperación pretende el establecimiento de un diálogo regular sobre ciberseguridad y acciones de cooperación a nivel internacional para fortalecer la ciberresiliencia mundial y de terceros países, así como el acuerdo de intercambiar las mejores prácticas y acciones destinadas a promover y proteger un ciberespacio abierto, libre y seguro.

En definitiva, a día de hoy la idea de Reino Unido y la UE parece ser adoptar una línea de continuidad y colaboración regular en materia de protección de datos personales y ciberseguridad -aunque sea a través de instrumentos legales que ya no quedan dentro del derecho comunitario- pero enfocados a un mismo fin. No obstante, por el momento todo lo acordado es muy programático y el tiempo dirá en qué se traducen las cosas en la práctica.

Natalia Patiño

Abogada y consultora legal TIC en Secure&IT

 

 

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados