Está usted en:

PROTECCIÓN DE DATOS

El 31 de enero ha tenido lugar la salida del Reino Unido de la Unión Europea y ha comenzado a aplicarse el Acuerdo de Retirada, que estará en vigor, si el Reino Unido no solicita una prórroga antes del 1 de julio de 2020, hasta el 31 de diciembre de este año.

La aplicación del Acuerdo de Retirada supone que, durante su vigencia, el Reino Unido deja de ser miembro de la Unión Europea, pero debe seguir aplicando el derecho de la Unión bajo determinadas condiciones, sigue sometido a las decisiones del Tribunal de Justicia y, aunque dejará de participar en todas las instituciones, agencias, organismos y grupos de trabajo de la Unión, puede seguir asumiendo algunas responsabilidades derivadas del derecho europeo.

¿Se pueden seguir mandando datos al Reino Unido?

Aunque el Reino Unido deja de ser miembro de la Unión Europea, según el Acuerdo de Retirada debe seguir aplicando el derecho de la Unión a todos los datos de interesados fuera del Reino Unido que se hayan tratado con anterioridad al fin del periodo transitorio. Ello implica que, a efectos de exportación de datos, la situación del Reino Unido es equiparable a la de un Estado Miembro.

Para enviar datos al Reino Unido no es preciso ampararse en ninguno de los instrumentos de transferencia (decisión de adecuación, cláusulas contractuales, normas corporativas vinculantes, …) previstos por el Reglamento General de Protección de Datos (RGPD).

Las empresas que estén transfiriendo datos al Reino Unido pueden seguir haciéndolo del mismo modo que lo hacían hasta ahora y es posible iniciar nuevas transferencias con los mismos criterios aplicados hasta la fecha mientras esté en vigor el Acuerdo de Retirada.

¿Qué sucederá cuando finalice el periodo transitorio cubierto por el Acuerdo de Retirada?

Las futuras relaciones entre la Unión Europea y el Reino Unido, también en materia de protección de datos, deberán establecerse en los acuerdos que comienzan a negociarse a partir de la entrada en vigor del Acuerdo de Retirada.

En el ámbito de la protección de datos, la opción que, en principio, resulta más previsible es que la Comisión Europea pudiera adoptar una "decisión de adecuación" en la que se reconozca que el Reino Unido ofrece un nivel de protección esencialmente equivalente al que proporciona el marco normativo de la Unión.

El propio Acuerdo de Retirada se refiere expresamente a que "la Comisión Europea iniciará lo antes posible, tras la retirada del Reino Unido, las evaluaciones respecto de dicho país, con ánimo de adoptar las decisiones correspondientes a más tardar a finales de 2020, si se cumplen las condiciones aplicables."

Para poder adoptar estas decisiones, la Comisión debe evaluar el ordenamiento jurídico y la práctica en materia de protección de datos en los países candidatos a la adecuación, pudiendo negociar con ellos la introducción de cambios normativos o en la aplicación práctica de las normas que permitan asegurar la existencia de ese nivel adecuado de protección. Las decisiones se deben revisar regularmente, a fin de comprobar que se siguen dando las condiciones que permitieron su adopción.

En el caso de que finalmente se produzca la declaración de adecuación mediante una decisión de la Comisión, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito formal, de un modo similar en la práctica a como se haría para comunicaciones de datos entre los Estados Miembro.

¿Tiene algún otro efecto el inicio del periodo transitorio en materia de transferencias internacionales de datos?

No. La autoridad de supervisión del Reino Unido seguirá actuando como una autoridad europea más a todos los efectos en relación con los instrumentos de garantía para las transferencias internacionales de datos que el RGPD.

Por ejemplo, la autoridad de supervisión del Reino Unido puede seguir actuando como autoridad principal a la que un grupo de empresas dirijan una solicitud de autorización de normas corporativas vinculantes (BCR, por sus siglas en inglés) y deberá tramitarlas siguiendo los mismos procedimientos empleados desde el inicio de la aplicación del RGPD.

La única diferencia es que la autoridad de supervisión del Reino Unido no puede participar como miembro con derecho a voto en las reuniones del Comité Europeo de Protección de Datos donde se validan las decisiones que sobre estos instrumentos prevean adoptar las autoridades de supervisión de los Estados Miembro.

¿Cómo se aplicará el régimen de supervisión durante el periodo transitorio?

El RGPD establece un sistema de supervisión relativamente complejo, basado en el sistema conocido como "ventanilla única".

Este sistema consiste, expuesto de forma muy sintética, en que cuando un responsable o encargado de tratamiento tienen varios establecimientos en la Unión Europea, la supervisión de los tratamientos de datos que realicen se lleva a cabo de forma cooperativa entre todas las autoridades de supervisión de los países donde existen establecimientos bajo la dirección y coordinación de una autoridad de supervisión "principal", que es la del Estado Miembro donde se sitúa el establecimiento principal del responsable o encargado. El mismo principio es aplicable cuando los tratamientos, tenga o no el responsable o encargado varios establecimientos en la Unión, afecta significativamente a personas en varios Estados Miembro.

Según los términos del Acuerdo de Retirada, la autoridad de supervisión de Reino Unido seguirá pudiendo actuar como autoridad "principal" o autoridad afectada en los procedimientos en que estén involucrados responsables o encargados con establecimiento, principal o no, en el Reino Unido o personas en el Reino Unido que estén significativamente afectadas por estos tratamientos.

En esta participación, la autoridad de supervisión de Reino Unido deberá aplicar las disposiciones del RGPD que regulan los procedimientos de supervisión y está sometida a las decisiones que puedan adoptar el Comité Europeo de Protección de Datos, la Comisión o el Tribunal de Justicia de la Unión Europea en los casos en que el RGPD prevé su intervención.

Dicho de forma muy simple, el modelo de supervisión diseñado por el RGPD seguirá aplicándose como hasta ahora por lo que respecta a la autoridad de supervisión de Reino Unido mientras se mantenga la vigencia del Acuerdo de Retirada.

Como sucedía en materia de transferencias internacionales, la única y sustancial diferencia es que la autoridad de supervisión de Reino Unido no puede participar como miembro con derecho a voto en las reuniones del Comité Europeo de Protección de Datos dedicadas a dirimir conflictos entre autoridades en la aplicación de estas disposiciones relativas a la supervisión.