Brexit vs. Protección de datos: cuál es la situación actual

Brexit vs. Protección de datos: cuál es la situación actual

El 1 de febrero de 2020 Reino Unido salió de la Unión Europea iniciándose en ese momento un periodo transitorio que terminó el pasado 31 de diciembre de 2020, y que se desarrolló bajo la vigencia del llamado “Acuerdo de Retirada”. Este acuerdo estaba orientado hacia la opción de una salida ordenada –un brexit “blando”- y mantenía la aplicación del derecho comunitario hasta el final del citado periodo transitorio.

Colocando el punto de mira sobre la regulación en materia de protección de datos personales, el Acuerdo de Retirada implicó la extensión en la aplicación del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) en UK hasta el 31 de diciembre de 2020.

La situación regulatoria actual

Pero, ¿cuál es la situación regulatoria actual, en relación con los flujos de datos personales entre los países miembros de la UE y UK? El 30 de diciembre de 2020, Reino Unido y la UE lograron la firma in extremis del Acuerdo de Comercio y Cooperación. En virtud de este acuerdo, se establece un nuevo período transitorio que finalizará el 30 de junio de 2021. Sin embargo, hay que tener presente que el acuerdo suscrito no implica por sí mismo una decisión de adecuación para el Reino Unido. En este sentido, la UE trabaja ya en la muy probable adopción de dos decisiones de adecuación en favor de UK: una vinculada al artículo 45 del RGPD, y otra a la directiva sobre protección de datos en el ámbito penal. Paralelamente, Reino Unido ha de adaptar su Data Protection Act 2018 para convertirlo en lo que se ha llamado el “RGPD de UK” o “UK GDPR”.

En el caso de que por algún motivo la UE no llegara a adoptar la decisión de adecuación a favor del Reino Unido, las transferencias internacionales de datos con este destino tendrían que estar bajo la cobertura de alguno de los instrumentos de garantía previstos en el artículo 46 RGPD (siendo posiblemente las cláusulas tipo el instrumento al que se recurriría con más frecuencia) o de la aplicación de las excepciones establecidas en el artículo 49 RGPD.

Por tanto, hasta el 30 de junio de 2021 las empresas pueden seguir transfiriendo datos personales entre la UE y Reino Unido sin la necesidad de implementar medidas o salvaguardas adicionales. Pero, hay que permanecer a la espera de que, en este tiempo, se adopte una decisión de adecuación por parte de la Comisión Europea aplicable al Reino Unido o, en su defecto, será necesario recurrir a alguno de los instrumentos establecidos para transferir datos personales a un tercer país de conformidad con RGPD.

El Acuerdo de Comercio y Cooperación

Este acuerdo consta de cuatro grandes bloques temáticos:

  • Acuerdo de Libre Comercio.
  • Marco de cooperación económica, social, medioambiental y en materia de pesca.
  • Asociación en materia de seguridad interior.
  • Marco de gobernanza común para el conjunto del Acuerdo.

El bloque referido al Acuerdo de Comercio, Transporte, Pesca y otras disposiciones (segunda parte del acuerdo) incluye un apartado relativo al comercio digital dirigido a facilitar el comercio electrónico seguro para las empresas y los consumidores, con altos niveles de protección de datos personales.

Concretamente, en materia de protección de datos personales, privacidad y flujos transfronterizos de datos, el acuerdo suscrito (vid. segunda parte, título III, capítulo 2. Artículos digit 6 y 7) implica el compromiso bilateral a la hora de garantizar las transferencias internacionales de datos personales para facilitar el comercio en la economía digital. Así se evita que una parte pueda: imponer a la otra el uso de recursos informáticos o elementos de red que estén certificados o aprobados en su territorio; la exigencia de localizar datos en el propio territorio para su almacenamiento o tratamiento; la prohibición de almacenar o, en general, llevar a cabo tratamientos en el territorio de la otra parte, o supeditar la transferencia de datos transfronteriza al uso de recursos informáticos o elementos de red en el propio territorio.

Tanto la UE como Reino Unido reconocen que los individuos tienen derecho a la protección de los datos personales y la privacidad, y que unas normas estrictas a este respecto contribuyen a confiar en la economía digital y a desarrollar el comercio. No obstante, el Acuerdo de Comercio y Cooperación no impedirá que cualquiera de las partes pueda adoptar nuevas medidas sobre la protección de los datos personales y la privacidad, incluso, con respecto a las transferencias de datos transfronterizas, siempre que la legislación adoptada prevea instrumentos que permitan dichas transferencias en condiciones de aplicación general para la protección de los datos transferidos. No obstante, según lo acordado, cada una de las partes informará a la otra sobre las medidas que adopte o mantenga. En este sentido, interesa recordar que actualmente sigue vigente en UK la Data Protección Act (DPA 2018) que, a día de hoy, es acorde con RGPD.

En materia de ciberseguridad, el Acuerdo de Comercio y Cooperación pretende el establecimiento de un diálogo regular sobre ciberseguridad y acciones de cooperación a nivel internacional para fortalecer la ciberresiliencia mundial y de terceros países, así como el acuerdo de intercambiar las mejores prácticas y acciones destinadas a promover y proteger un ciberespacio abierto, libre y seguro.

En definitiva, la idea de Reino Unido y la UE parece ser adoptar una línea de continuidad y colaboración regular en materia de protección de datos personales y ciberseguridad -aunque sea a través de instrumentos legales que ya no quedan dentro del derecho comunitario- pero enfocados a un mismo fin. No obstante, el tiempo dirá en qué se traducen las cosas en la práctica.

Natalia Patiño

Abogada y consultora legal TIC en Secure&IT

 

 

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather