Transferencias internacionales de datos con Reino Unido

El 31 de enero pasado, se hizo efectiva la salida de Reino Unido de la UE, seguramente ya ha leído muchísimas publicaciones sobre las consecuencias jurídicas y económicas del Brexit, pero seguro que pocas personas se plantean las implicaciones a nivel de Protección de Datos.

Por poner un ejemplo, una empresa española, que tuviera una filial en Reino Unido, seguramente ceden entre las dos los datos de clientes, trabajadores, incluso el de algunos proveedores y a la inversa.

Hasta ahora, Reino Unido era miembro de la UE, dicha cesión de datos no tenía ningún  problema, podía hacerse sin autorización alguna, puesto que España e Reino Unido contaban con niveles idóneos de seguridad en privacidad y Protección de Datos por aplicación del RGPD.

Pero ahora Reino Unido no es considerado país europeo y deberemos conocer las diferentes opciones que tenemos para  poder enviar los datos de Reino Unido a España y viceversa sin incurrir en sanciones o incidencias.

En  este artículo veremos cómo el Brexit afectará a la Protección de datos de las transacciones mercantiles.

Marco normativo de Reino Unido en privacidad.

En primer lugar, Reino Unido cuenta actualmente con normativa nacional en Protección de Datos adaptada a la Directiva 95/46/CE de la UE.

Por lo tanto, el escenario surgido antes del 31 de enero pasado no plantearía problema alguno.

En este caso, aplicaríamos lo dispuesto en el RGPD para todo tratamiento de datos entre Reino Unido y resto de Estados Miembro.

Pero ¿Qué pasa a partir del 31 de enero?

Casuísticas de Protección de Datos.

Los problemas se nos plantean a partir del 31 de enero pasado, fecha en la cual Reino Unido ya no es parte de la Unión Europea y no goza del marco jurídico de protección establecido.

En este caso, y para los tratamientos de datos por parte de empresas británicas de ciudadanos de la Unión, el RGPD es claro en este sentido, diciendo en su artículo 3.2. la solución al problema:

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”

Por lo comentado anteriormente, Reino Unido deberá acatar lo dispuesto en el RGPD en el caso de tratamiento de datos de ciudadanos de la Unión Europea, cuando ofrezcan bienes y servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE.

También, debemos de contar con lo siguiente, cuando el responsable o encargado de tratamiento pertenece a un país tercero de la Unión y realice tratamientos de ciudadanos europeos, se debe nombrar a un representante salvo en los siguientes supuestos:

  • el tratamiento sea ocasional,
  • no incluya el tratamiento a gran escala de categorías especiales
  • el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas.

Transferencia internacional de datos.

Al salir de la UE, Reino Unido ya no tendría que estar a la altura de los estándares de gestión y protección de datos del RGPD, lo que podría conllevar ser considerado un país sin un nivel adecuado de protección de datos personales de ciudadanos europeos.

Esto significaría, que las empresas británicas perderían el derecho a enviar datos a cualquier lugar de la UE, y también, que tendrían que desarrollar una nueva normativa, para poder ser considerado país seguro para este tipo de transferencias de datos.

La libre circulación de datos está garantizada en la UE pero su transmisión fuera de éste, requerirá de autorización de la Agencia Española de Protección de Datos salvo en supuestos de excepción legal o que los datos se transfieran a países que proporcionen un nivel de protección adecuado.

La transferencia de datos con Reino Unido se convierte en una “transferencia internacional” regulada por el nuevo Reglamento General de Protección de Datos que entró en vigor en 2018.

Según la Agencia Española de Protección de Datos, una “transferencia internacional de datos”, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

¿Qué pasa a partir de ahora con Reino Unido?

La cuestión son los envíos de datos a Reino Unido por ser considerado este país “sin protección adecuada” al no encontrarse en el marco europeo.

Por lo tanto, Reino Unido podría adoptar las siguientes decisiones o modelos basados en casuística internacional a fin de beneficiarse de determinados marcos, regulaciones y estándares aun sin pertenecer a la UE:

  • Que el Reino Unido opte por seguir siendo miembro del Espacio Económico Europeo, donde el nivel de protección en seguridad ofrecido, sea equiparable al admitido en los estados Miembro.
  • Que Reino Unido solicite a la U.E. el reconocimiento de un nivel de protección adecuado respecto a la protección de datos lo que permitiría que las transferencias de datos internacionales fueran lícitas sin necesidad de autorización (actualmente se precisaría autorización del director de la AEPD)
  • Que se firmaran acuerdos bilaterales entre Reino Unido y los Países de la UE, o acuerdo de escudo de privacidad similar al Privacy Shield que la U.E. tiene con EE.UU.
  • Que Reino Unido opte por no seguir siendo miembro del EEE, para lo cual deberá suscribir mecanismos que le proporcionen un nivel de seguridad adecuado:
  • Creación de Normas Corporativas Vinculantes (NCV) o Binding Corporate Rules (BCR) que son un instrumento que legitima las transferencias internacionales de datos entre las empresas que conforman un grupo multinacional y sus filiales establecidas fuera del Espacio Económico Europeo. Como requisito se establece que las reglas tengan suficientes garantías respecto a la protección de datos y se garantice el cumplimiento de los principios y obligaciones del RGPD.
  • La actual LOPD nacional, prevé las cláusulas contractuales tipo de la Comisión. Para ello, es necesaria la autorización del director de la AEPD y aportar una serie de documentación y requisitos.
  • Códigos de conducta o herramientas de certificación.

Todo lo comentado, es para empresas que prestan servicios, pero existen otros tipos de organizaciones que no ofrecen bienes o servicios, como el caso de las ONG,

También tener en cuenta,  que actualmente hay muchos servicios que se ofertan en Cloud y se encuentran físicamente en el Reino Unido y que habrá que revisar toda esa contratación y la documentación que atañe a la relación de transferencia internacional.

Todos estos cambios, de los que deberemos estar atentos para ver nuevas normativas, y jurisprudencias, que afectan a muchas empresas inglesas.

En SEGURINFO, le asesoraremos en sus transferencias internacionales, acomodando la situación real de su empresa y eliminando posibles incumplimientos.

Con RGPD ON LINE de SEGURINFO, cumple con el RGPD, y toda la normativa de Protección de Datos .

Dispones de herramientas que se adaptan a tus necesidades, fáciles e intuitivas, con un soporte total por nuestra parte.

Infórmate sin compromiso en info@segurinfo.es

Y si quieres ofrecer los servicios a tus clientes infórmate AQUI.