El Brexit, el RGPD y las transferencias de datos con Reino Unido

El Brexit, el RGPD y las transferencias de datos con Reino Unido

Cuando los datos personales se van de viaje

Con la globalización, las transferencias internacionales de datos personales se han convertido en una realidad creciente. En este sentido, la normativa de la Unión Europea (la más exigente del mundo en materia de protección de datos) contempló este aspecto desde sus inicios. Por supuesto, también ocupa un lugar importante en el ámbito del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que es, ni más ni menos, que el ya popularmente conocido como RGPD.

De nada serviría la preocupación europea, a la hora de proteger nuestros datos personales, si estos datos pudieran salir de viaje sin ningún tipo de control (especialmente, si lo hacen a otros mundos en los que la protección es inexistente o débil). Sin embargo, tampoco se puede ignorar que, en un mundo de negocios sin fronteras, bloquear los flujos internacionales de datos personales hacia el exterior de la UE no es una opción. En definitiva, se trata de encontrar el punto de equilibrio. Es decir, la forma de desplegar una protección lo suficientemente fuerte para no mermar el derecho fundamental a la protección de datos personales, sin que dicha protección constituya un obstáculo excesivo para una economía globalizada.

Las transferencias internacionales de datos y su evolución normativa

Pero, empecemos por el principio. Aclaremos cuál es el concepto legal de transferencia internacional de datos y cuál ha sido su evolución normativa en la Unión Europea de los 28. Más adelante nos ocuparemos de la situación que se presenta, ahora que somos 27.

Las transferencias internacionales de datos personales se producen cuando los datos personales tratados por un responsable, o un encargado de tratamiento, fluyen desde el territorio de cualquiera de los Estados miembros del Espacio Económico Europeo (EEE) a destinatarios situados fuera de él. Se incluyen en estas transferencias aquellos movimientos de datos derivados de la contratación de servicios en la nube o cloud computing, fuera del EEE. Hoy por hoy pertenecen al Espacio Económico Europeo los veintisiete países de la UE, Reino Unido, Noruega, Islandia y Liechtestein.

Las transferencias y el RGPD

En lo que respecta a las transferencias internacionales de datos personales, RGPD ha supuesto la introducción de novedades. Una de las más relevantes es el cambio aplicado en el régimen de autorización y notificación previa a la autoridad de control que, en España, es la Agencia Española de Protección de Datos (AEPD). En este sentido, si comparamos la regulación derivada de la derogada LOPD 15/1999 con el nuevo escenario vinculado a RGPD, se observa una clara disminución del intervencionismo de la AEPD. Ahora, el principio de aplicación general es que las transferencias internacionales de datos personales se pueden llevar a cabo sin necesidad de autorización previa de la AEPD. Eso será siempre que, como se explicará más adelante, exista una “decisión de adecuación” (art. 45 RGPD); se ofrezca alguno de los instrumentos de “garantía adecuada” (art. 46.2 RGPD), o concurra alguna de las “situaciones específicas” (art. 49.1 letras a-g RGPD). Solo en ausencia de todo ello, será necesario informar a la AEPD sobre la transferencia internacional que se pretenda llevar a cabo.

RGPD también nos ha hecho tener presente un aspecto: no solo los responsables de tratamiento pueden ser exportadores de datos personales; también los encargados de tratamiento pueden llevar a cabo esta función.

Además, el Reglamento General de Protección de Datos supone la ampliación de los instrumentos de garantía adecuada (se incorporan los códigos de conducta y los mecanismos de certificación, además de oficializar las normas corporativas vinculantes (BCR) entre los posibles instrumentos de garantía).

La actual regulación implica que se pueden realizar transferencias internacionales de datos sin necesidad de autorización de la AEPD, si se produce alguna de las siguientes situaciones:

  • Transferencias basadas en una decisión de adecuación:

El primer supuesto establece que podrá realizarse una transferencia de datos personales a un tercer país, u organización internacional, fuera del EEE cuando la Comisión Europea haya decidido que ese país u organización internacional garantiza un nivel de protección adecuado en materia de datos personales.

Actualmente, la Comisión ha decidido que gozan de un nivel adecuado de protección los siguientes países: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda y Japón.

Mención adicional merece el caso de Estados Unidos, en el que únicamente aquellas entidades adheridas al Privacy Shield garantizarán un nivel de protección adecuado.

  • Transferencias mediante garantías adecuadas:

A falta de decisión de adecuación, el responsable o encargado del tratamiento únicamente podrá realizar transferencias internacionales si ofrece garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Estas garantías adecuadas podrán ser aportadas sin que se requiera ninguna autorización expresa por parte de la autoridad de control competente por: un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos; normas corporativas vinculantes; cláusulas tipo; códigos de conducta, o mecanismos de certificación.

De la misma forma, siempre que exista autorización expresa de la autoridad de control competente, las garantías adecuadas podrán aportarse mediante cláusulas contractuales entre el responsable o el encargado del tratamiento y el destinatario de los datos personales en el tercer país u organización internacional. También mediante disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos, que incluyan derechos efectivos y exigibles para los interesados.

  • Excepciones para situaciones específicas:

Adicionalmente, en ausencia de una decisión de adecuación o de garantías adecuadas, el RGPD permite la realización de transferencias internacionales de datos si se cumple alguna de las siguientes condiciones:

  • Si el interesado ha dado explícitamente su consentimiento.
  • Si la transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento, o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • Si la transferencia hace falta para ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • Si es necesaria por razones importantes de interés público.
  • Si es necesaria para la formulación, ejercicio o defensa de reclamaciones.
  • Si hace falta para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté, física o jurídicamente, incapacitado para dar su consentimiento.
  • Si la transferencia se realiza desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo. Pero, solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Como se puede observar, existe un amplio abanico de fórmulas para poder realizar una transferencia de datos personales a un país u organización internacional establecido fuera del EEE bajo el amparo del RGPD. Pero, hay que destacar la importancia que tiene poder evidenciar la legitimación de la transferencia internacional (en base a alguno de los anteriores supuestos).

El RGPD establece que el incumplimiento de las obligaciones en materia de transferencias internacionales se sancionará con multas administrativas de 20 millones de euros o del 4 por ciento del volumen de negocio total anual del ejercicio financiero anterior (la cifra que sea de mayor cuantía).

Y, entonces, ¿cómo afecta el Brexit?Brexit RGPD transferencias de datos

A lo largo de 2019, el Comité Europeo de Protección de Datos (CEPD) recomendó, de forma preventiva, determinadas medidas a adoptar por todas aquellas empresas cuyas actividades de tratamiento de información, en especial de datos personales, pudiesen quedar afectadas por el Brexit. Lo hizo con motivo de la irreversible retirada voluntaria de Reino Unido como Estado miembro fundador de la Unión Europeo y por su declarado rechazo, incluso, a formar parte del Espacio Económico Europeo (EEE).

Conforme al Acuerdo de Retirada, y hasta que la salida de Reino Unido se haga efectiva en enero de 2021, se deberá seguir aplicando el Derecho de la Unión Europea a toda la información tratada. Por tanto, hasta el 31 de diciembre de 2020, no será necesario ampararse en los instrumentos de transferencia previstos por el RGPD (adecuación de cláusulas contractuales, normas corporativas vinculantes, etc.).

Las empresas que estén transfiriendo datos al Reino Unido pueden seguir haciéndolo del mismo modo que lo hacían hasta ahora. Y también es posible iniciar nuevas transferencias con los mismos criterios aplicados hasta la fecha, mientras esté en vigor el Acuerdo de Retirada.

Qué cambiará y cuándo lo hará

A partir de 2021, esto cambiará. Lo hará cuando la Comisión Europea emita la decisión correspondiente, declarando a Reino Unido como tercer país destinatario con nivel de protección adecuado. En ese momento, habrá que proceder de la misma forma que con las transferencias internacionales a terceros países no pertenecientes ni a la UE, ni al EEE.

Las empresas deberán identificar, de forma diferenciada, qué actividades de tratamiento suponen una transferencia de datos a Reino Unido. También tendrán que categorizar la actividad de tratamiento concreta; identificar el instrumento, así como los canales y vías de transmisión; indicar las medidas tomadas en toda la documentación interna (políticas, procedimientos, contratos, etc.). En especial, deberán actualizar las políticas de privacidad, a fin de garantizar el principio de información de los titulares de los datos y de otros interesados.

En base a lo expuesto, se permitirán las transferencias de datos personales desde la UE o el EEE a Reino Unido siempre y cuando se implementen cláusulas tipo específicas de protección de datos ad hoc, aprobadas por la Comisión Europea. En el caso de empresas multinacionales, deberán suscribir unas normas corporativas vinculantes que garanticen un nivel de protección adecuado en todas las sociedades del grupo, con independencia del país de tratamiento.

Por todo ello, las empresas de la UE (o del EEE) tendrán que valorar, con ayuda de profesionales expertos en la materia, los pros y los contras de la aplicación de estas medidas. Y decidir si las aplican o si las compañías subsidiarias de Reino Unido se acogen, por política interna, al RGPD.

Estefanía Macías

Natalia Patiño

Juan Manuel Valiente

Departamento de Derecho TIC de Secure&IT

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather