Medidas a adoptar respecto a la Protección de Datos ante el BREXIT

Medidas a adoptar respecto a la Protección de Datos ante el BREXIT

Brexit y Protección de Datos

A partir del 1 de enero de 2021, el Reino Unido ya no está obligado a cumplir con la legislación de la UE y ya no tiene acceso al mercado interior ni a la Unión Aduanera. La libre circulación de personas ha dejado de ser aplicable entre la UE y el Reino Unido.

Acuerdo comercial entre UE y UK

Sin embargo, el pasado 24 de diciembre de 2020, la Unión Europea y el Reino Unido acordaron un borrador de acuerdo comercial y de cooperación donde se determinan las reglas aplicables a las relaciones entre la UE y UK en una serie de áreas, entre ellas: comercio, transporte, coordinación de la seguridad social, cooperación policial y judicial, etc.

¿Y cómo afecta el BREXIT a la protección de datos? En esta materia se ha establecido una moratoria de 6 meses para que, durante este periodo y hasta el 1 de julio de 2021, puedan seguir aplicándose las disposiciones del Reglamento General de Protección de Datos (RGPD).

 ¿Qué pasará el 1 de julio de 2021?

Una vez haya finalizado este plazo máximo de 6 meses, todos los flujos transfronterizos de datos personales que se realicen al Reino Unido, a menos que una decisión de la Comisión Europea reconozca a UK como país que garantiza un nivel adecuado de protección, deberán supervisarse, pues se dará una transferencia internacional de datos que deberá realizarse mediante la aplicación de alguno de los siguientes instrumentos previstos por el RGPD para transferencias a terceros países:

• Cláusulas contractuales tipo o ad hoc.

• Normas corporativas vinculantes.

• Adhesión a códigos de conducta y/o mecanismos de certificación.

• Aplicación de excepciones.

Todo ello, con la condición de que se reconozca a los europeos derechos exigibles y recursos efectivos, tal y como establece el art. 46 RGPD.

¿Qué medidas deben adoptar las organizaciones respecto a la Protección de Datos ante el BREXIT?

Las empresas y organizaciones deberán seguir estos pasos cuando transfieran datos al Reino Unido:

1. Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido.
2. Determinar el instrumento de transferencia de datos adecuado para su situación.
3. Aplicar el instrumento de transferencia de datos elegido.
4. Indicar en su documentación interna que se efectuarán transferencias al Reino Unido.
5. Actualizar sus políticas de privacidad para informar a los particulares.

Conclusión sobre el BREXIT y la Protección de Datos

Lo más probable es que la Comisión Europea adopte una “decisión de adecuación” a través de la que se reconozca que la normativa de protección de datos de UK (el Data Protection Act 2018) ofrece un nivel de protección equivalente al que proporciona el RGPD, pues ambas normativas se asemejan en el enfoque sobre la protección de datos: se basan en una correcta gestión del riesgo, asegurando un flujo seguro de información en el mercado.

En el caso de que finalmente se declare a UK como país adecuado mediante una decisión de la Comisión, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito, como se venía realizando hasta ahora. Tendremos que esperar hasta el 1 de julio.