Gris-Temática-de-Café-Portada-de-Facebook-1

BREXIT Y PROTECCIÓN DE DATOS: TRANSFERENCIAS INTERNACIONALES DE DATOS

Cómo actuar con respecto a las transferencias internacionales de datos desde la Unión Europea al Reino Unido, a partir de 1 de enero de 2021.

Términos del Acuerdo de Retirada del Reino Unido de la Unión Europea en materia de protección de datos personales.

El Acuerdo de Retirada del Reino Unido de la Unión Europea entró en vigor el 1 de febrero de 2020, iniciando un período de transición. Durante ese período temporal, que ha finalizado el 31 de diciembre de 2020, la situación ha permanecido sin cambios para los ciudadanos de la UE y del Reino Unido. 

Con relación a la protección de datos, el Acuerdo de Retirada prevé que, tras el final del período transitorio, el Reino Unido siga aplicando las normas en materia de protección de datos de la UE, hasta que la Comisión haya determinado que el régimen de protección de datos personales del Reino Unido proporciona salvaguardias de protección de datos esencialmente equivalentes a aquellas de la UE.

Comunicado del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 15 de diciembre un comunicado sobre las consecuencias derivadas del final del período de transición del Brexit, a 31 de diciembre de 2020.

Según este comunicado, a partir del 1 de enero de 2021, el Reino Unido se convierte en tercer país con respecto a la Unión Europea y dejará de aplicar el Reglamento General de Protección de Datos en el tratamiento de datos personales, pasando a regirse por un nuevo marco legal propio en el territorio británico; aunque hay que tener en cuenta que el Reino Unido ha traspuesto el Reglamento europeo de protección de datos a su regulación nacional, por lo que su normativa será muy similar a la de los países comunitarios.

Cómo actuar, en la nueva relación entre la Unión Europea y el Reino Unido, respecto a las transferencias de datos personales.

Actualmente, todos los intercambios de datos personales entre la Unión Europea – Espacio Económico Europeo – y el Reino Unido se califican como transferencias internacionales de datos a un tercer país, por lo que se les aplicará las correspondientes previsiones del RGPD.

En este sentido, el comunicado recuerda que, en ausencia de una decisión de adecuación aplicable al Reino Unido, dichas transferencias de datos personales desde la UE requerirán salvaguardias apropiadas. Por tanto, durante este período provisional sería recomendable:

  1. Con carácter general, revisar o, en su caso, adaptar las políticas de privacidad relativas a transferencias internacionales de datos, a fin de contemplar este nuevo escenario de relación con el Reino Unido.
  2. Si se realizan o se prevé realizar comunicaciones transfronterizas de datos personales que tengan como destino el Reino Unido:
    1. Identificar y revisar los flujos de datos que pudieran verse afectados.
    2. Aplicar las salvaguardias correspondientes para asegurar que la transferencia internacional de datos se encuentre adecuadamente legitimada. En este sentido, se deberá recurrir, especialmente cuando la transferencia se realice entre responsables del tratamiento a:
      1. Cláusulas tipo adoptadas por la Comisión o la autoridad de control.
      2. Otras cláusulas contractuales previa autorización de la autoridad de protección de datos.
  3. En el caso de transferencia internacional de datos de un responsable del tratamiento a un encargado del tratamiento, se pueden utilizar las cláusulas tipo reguladas en la Decisión 2010/87/UE de la Comisión. Los supuestos posibles de transferencias de datos personales a encargados del tratamiento establecidos en el Reino Unido pueden ser diversos pero podrían ser, por ejemplo, el caso de prestadores de servicio de hosting o housing (servicio externalizado de alojamiento de datos personales) o el caso de otros servicios de externalización a empresas o entidades establecidas en el Reino Unido que implique tratamiento de datos personales.

En todo caso, será preciso establecer los procedimientos adecuados que consideren esta nueva situación, optar por las garantías adecuadas a cada caso concreto, adaptar las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento o redactar las normas corporativas vinculantes para su aprobación por la Agencia Española de Protección de Datos.