La prórroga del Brexit finaliza hoy, 31 de enero. Una de las consecuencias jurídicas de la salida del Reino Unido de la Unión Europea, va a ser la situación ante la privacidad y protección de datos. Queremos poner sobre la mesa los escenarios de las empresas europeas que ahora tienen datos en Reino Unido y que pasarán a no estar regulados por el RGPD, pues estaremos ante transferencias internacionales de datos.
Hasta la salida del Reino Unido e Irlanda del Norte de la Unión Europea, la normativa de protección de datos aplicada era el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Ante la falta de aplicación de la misma normativa de protección de datos entre la UE y el Reino Unido, debemos analizar qué puede pasar en el tratamiento de datos de europeos en Reino Unido y viceversa.
Escenarios posibles
- Primer escenario: empresas que están establecidas en Reino Unido, pero tratan datos de ciudadanos de la Unión Europea. En ese caso, aunque el Reino Unido no sea un Estado miembro de la Unión Europea, el RGPD en base al artículo 3.2 deja claro que:
“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”
Por tanto, el Reino Unido deberá acatar lo dispuesto en el RGPD en el caso del tratamiento de datos de ciudadanos de la Unión cuando las empresas del Reino Unido ofrezcan bienes y servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE mediante técnicas de Big Data o elaboración de perfiles.
- Segundo escenario: transferencia internacional de datos.
Las empresas del Reino Unido perderán el derecho a enviar datos a cualquier lugar de la Unión Europea y las empresas de la Unión Europea que quieran enviar datos al Reino Unido estarán ante una transferencia internacional.
La libre circulación de datos está garantizada en la UE, pero su transmisión fuera de esta requerirá que la Agencia Española de Protección de Datos (AEPD) la autorice, salvo en supuestos de excepción legal o que los datos se transfieran a países que proporcionen un nivel de protección adecuado. Ya se están realizando actuaciones para que el Reino Unido pueda ser calificado como Estado declarado de nivel adecuado por la Comisión Europea.
En vistas de que la protección de datos es uno de los puntos que puede suponer un problema en las relaciones actuales entre países miembros de la UE con el Reino Unido, la Declaración política en la que se expone el marco de las relaciones futuras entre la Unión Europea y el Reino Unido (2019/C 384 I/02) recoge el apartado de protección de datos. En él se refleja la necesidad de facilitar los flujos de datos entre la UE y el Reino Unido y, lo más importante, recoge la evaluación por parte de la Comisión Europea, en caso de que cumpla las condiciones aplicables, el ser un país con nivel de protección adecuado.
Por tanto, tal y como recogen las disposiciones iniciales de la declaración política de relaciones futuras entre la Unión Europea y el Reino Unido, a más tardar a finales de 2020 y si el Reino Unido cumple con las condiciones aplicables para ser un país con nivel de protección adecuado, podremos seguir realizando las relaciones de transferencias de datos actuales sin la necesidad de la autorización de la AEPD.
- Tercer escenario: empresa de la UE que tiene filiales en el Reino Unido.
Mientras el Reino Unido no sea considerado un país con nivel de protección adecuado por no estar en la UE y mientras la Comisión Europea no lleve a cabo la evaluación del cumplimiento de los requisitos, las empresas podrán crear las Normas Corporativas Vinculantes o Binding Corporate Rules (BCR) (artículo 47 del RGPD) que son un instrumento que legitima las transferencias internacionales de datos entre las empresas que conforman un grupo multinacional y sus filiales establecidas fuera del Espacio Económico Europeo. Como requisito se establece que las reglas tengan suficientes garantías respecto a la protección de datos y se garantice el cumplimiento de los principios y obligaciones del RGPD.
Seguiremos los cambios, la nueva normativa y jurisprudencia para informaros.
Si tenéis cualquier duda al respecto, contactad con nosotros.
Equipo de Pymelegal.