BREXIT i Protecció de Dades


A partir de l’1 de gener, el Regne Unit ja no està obligat a complir amb la legislació de la UE i ja no té accés al mercat interior ni a la Unió Duanera. La lliure circulació de persones ha deixat de ser aplicable entre la UE i el Regne Unit.

Acord comercial entre UE i UK

Tanmateix, el passat 24 de desembre de 2020, la Unió Europea i el Regne Unit varen acordar un esborrany d’acord comercial i de cooperació on es determinen les regles aplicables a les relacions entre la UE i UK, en una sèrie d’àrees, entre elles comerç, transport, coordinació de la seguretat social, cooperació policial i judicial, etc.

I com afecta el BREXIT a la protecció de dades? En aquesta matèria s’ha establert una moratòria de 6 mesos per a què, durant aquest període fins a l’1 de juliol de 2021, puguin seguir aplicant-se les disposicions del Reglament General de Protecció de Dades (RGPD).

I què passarà l’1 de juliol de 2021?

Un cop hagi finalitzat aquest termini màxim de 6 mesos, tots els fluxos transfronterers de dades personals que es realitzin al Regne Unit, i a menys que una decisió de la Comissió Europea reconegui a UK com a país que garanteix un nivell adequat de protecció, hauran de supervisar-se doncs estarem davant una transferència internacional de dades, i haurà de realitzar-se mitjançant l’aplicació d’algun dels següents instruments previstos pel RGPD per a transferències a tercers països:

  • Clàusules contractuals tipus o ad hoc

A falta d’una decisió d’adequació, aquests contractes ofereixen les garanties addicionals adients que es necessiten per a la realització de transferències de dades a un tercer país. Actualment, existeixen entre responsables dins de l’EEE (Espai Econòmic Europeu), a un responsable en un tercer país i entre responsables dins de l’EEE i un encarregat del tractament ubicat en un tercer país. Aquests contractes no poden modificar-se i han de signar-se tal com s’entreguen. Poden incloure’s dins un contracte més ampli i es poden afegir clàusules addicionals sempre i quan no contradiguin, directament o indirectament, les clàusules tipus de protecció de dades adoptades per la Comissió. Qualsevol modificació afegida a les clàusules tipus de protecció de dades suposarà que es consideraran clàusules contractuals ad hoc. Abans d’efectuar qualsevol transferència, l’autoritat de control nacional competent ha d’autoritzar aquestes clàusules contractuals adaptades, previ dictamen del Comitè Europeu de Protecció de Dades (CEPD).

  • Normes Corporatives Vinculants

Les NCV (o Binding Corporate Rules -BCR-) són polítiques de protecció de dades a les que s’adhereix un grup d’empreses (és a dir, multinacionals) per a proporcionar garanties idònies per a les transferències de dades personals dins del grup, incloses aquelles a països no pertanyents a l’EEE. En el cas de què les NCV no estiguin en vigor, l’autoritat de control nacional competent ha d’aprovar-les, previ dictamen del CEPD.

  • Adhesió a codis de conducta i/o mecanismes de certificació

Aquestes eines són noves en virtut del RGPD. Els codis de conducta i/o mecanismes de certificació poden oferir garanties adequades per a les transferències de dades personals si inclouen compromisos vinculants i aplicables per part de l’organització en el país tercer en benefici dels particulars. El CEPD està elaborant guies per oferir més informació sobre les condicions harmonitzades i el procediment necessari per utilitzar aquestes eines.

  • Aplicació d’excepcions

Només podran utilitzar-se si no existeixen clàusules tipus o altres garanties alternatives adients. Han d’interpretar-se de forma restrictiva i fan referència principalment a activitats de tractament ocasionals i no repetitives. Entre aquestes excepcions es troben el consentiment explícit de l’interessat, havent sigut informat prèviament dels possibles riscos de les transferències, quan la transferència és necessària per a la celebració o execució d’un contracte, en interès de l’interessat, quan es necessària per raons importants d’interès públic o és necessària en virtut d’interessos legítims imperiosos de l’entitat, entre altres (art. 49 RGPD).

I tot això sempre amb la condició de què es reconegui als europeus drets exigibles i recursos efectius, tal i com estableix  l’art. 46 RGPD.

Quines mesures han d’adoptar les organitzacions respecte la protecció de dades davant del BREXIT?

Les empreses i organitzacions hauran de seguir aquests passos quan transfereixin dades al Regne Unit:

  1. Identificar quines activitats de tractament implicaran la transferència de dades personals al Regne Unit.
  2. Determinar l’instrument de transferència de dades adient per a la seva situació.
  3. Aplicar l’instrument de transferència de dades escollit.
  4. Indicar a la seva documentació interna que s’efectuaran transferències al Regne Unit.
  5. Actualitzar les seves polítiques de privacitat per informar als particulars.

D’altra banda, la “finestreta única” ha deixat de ser aplicable al Regne Unit.

Quines repercussions té el no disposar de la ‘finestreta única’ en matèria de protecció de dades enfront del BREXIT?

Amb la finestreta única els responsables del tractament ubicats a l’EEE poden recolzar-se en una autoritat principal, la qual és la seva interlocutora i amb la que han de complir les distintes obligacions previstes en el RGPD; d’aquesta manera s’harmonitzen les decisions relatives al tractament transfronterer facilitant els tràmits per a les empreses a la UE.

Amb base a l’acord de cooperació entre la UE i el Regne Unit, la finestreta única desapareix, i els responsables i encarregats de dades establerts al Regne Unit i el tractament de dades dels quals es subjecta al RGPD, a partir de l’1 de gener de 2021 han de nomenar a un representant a la Unió, de conformitat amb l’art. 27 RGPD.

Aquest representant pot ser contactat per les autoritats supervisores i els interessats ​​sobre qualsevol assumpte relacionat amb el tractament de dades personals per a garantir el compliment del RGPD. En absència d’un establiment principal en el territori de l’Espai Econòmic Europeu (EEE), els responsables o encarregats del tractament no poden beneficiar-se del mecanisme de finestreta única. Els responsables o els encarregats del tractament tan sols poden beneficiar-se de la finestreta única sempre que tinguin un establiment, oficines de representació, filials o qualsevol altre establiment amb seu física i personal capacitat establert a l‘EEE. Sinó, no podran.

Conclusió sobre el BREXIT i la protecció de dades

El més probable és que la Comissió Europea adopti una “decisió d’adequació” a través de la que es reconegui que la normativa de protecció de dades de UK (el Data Protection Act 2018) ofereix un nivell de protecció equivalent al que proporciona el RGPD, doncs ambdues normatives s’assemblen en l’enfocament sobre la protecció de dades: es basen en una correcta gestió del risc, assegurant un flux segur d’informació en el mercat.

En el cas de què finalment es declari a UK com a país adequat mitjançant una decisió de la Comissió, l’enviament de dades al Regne Unit podria realitzar-se sense cap tipus de requisit, com es realitzava fins ara. Haurem d’esperar fins a l’1 de juliol. Us anirem mantenint informats.

Per a més informació, estem a la teva disposició.

L’Equip de Pymelegal