Protección de Datos y Brexit: “What is going on!?”

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, también conocido como Reglamento General de Protección de Datos o por su forma abreviada RGPD o GDPR (por sus siglas en inglés) es la norma de origen europeo que rige actualmente la protección de datos en cada uno de los Estados Miembros de la Unión Europea.

Esta norma surgió con el objetivo de crear una armonía normativa en la materia acabando con el mosaico normativo heredado de la transposición de la antigua Directiva sobre protección de datos del año 1995 en los Estados Miembros, originando diferencias entre los distintos territorios europeos.

Los objetivos fundamentales de su aparición se centraban y se centran en:

1. Garantizar el derecho fundamental a la protección de datos personales;

2. Proteger los derechos y libertades fundamentales de las personas físicas; y

3. Permitir la libre circulación de los datos personales en la Unión Europea.

Pero, además, con el fin de salvaguardar estos objetivos fuera de nuestras fronteras con motivo del avance de la tecnología y la expansión del comercio y cooperación internacional, la norma dispuso de unas reglas de transferencias internacionales de datos que permitiesen garantizar los derechos y libertades de los ciudadanos de la unión.

Por tal motivo, cualquier flujo de información personal que se produzca entre países del Espacio Económico Europeo (es decir, Unión Europea junto con Islandia, Liechenstein y Noruega) y el resto del mundo únicamente se podrá llevar a cabo si se cumplen con las reglas contenidas en el Capítulo V del RGPD (artículos 44 a 50). Pero la protección del RGPD no queda ahí, sino que también serán de aplicación a aquellas transferencias ulteriores de datos desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todo ello con el fin de que el nivel de protección ofrecido por el RGPD a las personas físicas no se vea menoscabado.

El Reino Unido, como estado miembro de la Unión Europea le ha sido de aplicación la mencionada normativa europea sobre protección de datos desde su plena aplicación el 25 de mayo de 2018. Sin embargo, su marcha a causa del Brexit provocará una serie de modificaciones que deberán ser tenidas en cuenta por parte de las entidades británicas, pero también por parte de las entidades europeas que transmitan sus datos a entidades del Reino Unido.

Doble perspectiva: Reino Unido – Europa y Europa – Reino Unido

Por lo tanto, nos encontramos ante dos perspectivas distintas dependiendo de si los datos serán transmitidos desde el Reino Unido a Europa o desde Europa al Reino Unido:

1. Transferencia de datos desde el Reino Unido a Europa: De acuerdo con el artículo 3 del RGPD que regula el ámbito de aplicación territorial de la norma, esta se aplicará a aquellas entidades ubicadas en terceros países que ofrezcan bienes y servicios a personas de la Unión (aunque no medie pago) o que realicen controles comportamentales sobre dichas personas, en la medida en que estos tengan lugar en la Unión.

Por lo tanto, todas aquellas entidades británicas cuya actividad se base en los dos puntos mencionados obliga a que se vean sometidas por la norma europea.

En el resto de los casos, y en el caso de que no se llegase a un acuerdo en materia de protección de datos, a estas entidades les será de aplicación la normativa británica sobre protección de datos que, actualmente, es la Data Protection Act (DPA) del año 2018.

2. Transferencia de datos desde Europa al Reino Unido: En el momento en el que el Reino Unido pierda la condición de Estado Miembro, será considerado como tercer país ajeno al Espacio Económico Europeo y, por lo tanto, las transferencias de datos solo serán permitidas si se aplican alguna de las reglas contenidas en el Capítulo V del Reglamento General de Protección de Datos (artículos 44 a 50):

· Que la Comisión Europea acuerde que el Reino Unido dispone de un nivel adecuado de protección de datos (art. 45 RGPD);

· En defecto de lo anterior, que la transferencia se realice mediante garantías adecuadas enumeradas en el art. 46 RGPD;

· En defecto de lo anterior, que se cumpla alguna de las condiciones exigidas por el art. 49 RGPD;

· Y en defecto de lo anterior, que se demuestre que existen “intereses legítimos imperiosos” por parte del responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado (art. 49 RGPD);

Como puede verse, estas reglas se aplican en gradualmente en caso de que no pueda ser de aplicación la anterior y varían desde una mayor permisibilidad en la transferencia de datos personales hasta un nivel de exigencia mayor que limita dicho flujo de datos provocando que la entidad se plantee si es conveniente realizar dicha transferencia.

¿Y cómo están las cosas actualmente?

Dejando de lado la teoría y volviendo a la realidad, tras el reciente acuerdo entre el Reino Unido y la Unión Europea en crear un periodo de transición cuya fecha límite será el 31 de diciembre de 2020, (prorrogable hasta dos años más), el 1 de febrero empezará un período de transición y ambivalencia en el que el Reino Unido dejará de ser un estado miembro de la Unión Europea pero a su vez le seguirá siendo plenamente aplicable la normativa europea de forma que el Reglamento General de Protección de Datos seguirá siendo aplicable como si nada hubiese sucedido, al menos, hasta el final de 2020.

Con el fin de acercar posturas, en el año 2017 y en el seno de la Unión Europea se creó una institución específica para coordinar todo el trabajo de la Comisión Europea sobre cuestiones estratégicas, operativas, jurídicas y financieras relacionadas con la retirada del Reino Unido y su futura relación con la Unión Europea. Dicha institución recibe el nombre de Grupo de Trabajo para las Relaciones con el Reino Unido, también denominado Grupo de Trabajo del artículo 50 o en inglés, Task Force for Relations with the United Kingdom (UKTF).

Entre las distintas materias que disponen sobre la mesa, se encuentra la protección de los datos personales con el fin de intentar llegar a acuerdos entre ambas partes para conseguir una mayor libertad de circulación de los datos entre ambos territorios.

De acuerdo con las últimas novedades de dicho Grupo de Trabajo, se pretenden llevar a cabo una serie de distintas evaluaciones en cooperación con el Reino Unido con el propósito de que este adquiera un nivel adecuado de protección de datos por parte de la Comisión, es decir, la opción más permisiva en cuanto a la transferencia internacional de datos personales, lo cual, en principio, no debería afrontar mayores problemas debido a que la actual normativa interna de protección de datos, la ya mencionada Data Protection Act, recoge los estándares del RGPD e incluso los desarrolla.

Sin embargo, es un proceso que depende de que las autoridades europeas le den el visto bueno y aún nada está decidido, así que en el caso de que no se llegue a un acuerdo a 31 de diciembre de 2020, ni haya prórroga, las entidades europeas que transmitan datos al Reino Unido deberán realizar los ajustes necesarios de acuerdo con las reglas del Capítulo V RGPD, realizar acciones alternativas como intentar, en primer lugar, realizar transferencias mediante los mecanismos de garantías adecuadas.

Un consejo…

Con el fin de adelantarse a los acontecimientos, es recomendable que las entidades europeas, como responsables o encargadas del tratamiento, revisen si tienen flujos de datos hacia el Reino Unido y, en tal caso, que creen una serie de mecanismos que permitan actualizar sus procedimientos internos, medidas, Registros de Actividades de Tratamiento, cláusulas, etc. Tanto para el caso de que haya acuerdo como para el caso de que no lo haya, permitiéndose adelantar a alguna de las dos posibles realidades y agilizar el cambio cuando llegue. Asimismo, con el fin de permanecer actualizados ante cualquier noticia, se recomienda seguir de cerca los canales principales de información en la materia como son:

· La Agencia Española de Protección de Datos (Autoridad Española)

· La Information Commissioner’s Office (Autoridad Inglesa)

· El Comité Europeo de Protección de Datos

Comentado todo lo anterior, nos encontramos ante una relativa calma en la que, si bien es cierto que ambas partes están intentando acercar posturas en los últimos meses por el bien de las relaciones entre ambos territorios, nada está decidido y será desde el 1 de febrero hasta el 31 de diciembre de 2020, cuando deberá demostrarse si el divorcio entre ambas partes acaba siendo consensuado o no.

José Manuel Cañedo

Abogado

jcanedo@monlexabogados.es